Estados Unidos y la Unión Europea dijeron el martes que Rusia fue responsable de un ataque cibernético en febrero que paralizó una red satelital en Ucrania y países vecinos, interrumpiendo las comunicaciones y un parque eólico utilizado para generar electricidad.
El ataque del 24 de febrero desató un malware de limpieza que destruyó miles de módems satelitales utilizados por los clientes de la empresa de comunicaciones Viasat. Un mes después, la firma de seguridad SentinelOne dijo que un análisis del malware de limpieza utilizado en el ataque compartía múltiples similitudes técnicas con VPNFilter, una pieza de malware descubierta en más de 500 000 módems domésticos y de pequeñas oficinas en 2018. Varias agencias del gobierno de EE. UU. atribuyeron VPNFilter a Russian actores de amenazas estatales.
Decenas de miles de módems eliminados por AcidRain
“Hoy, en apoyo de la Unión Europea y otros socios, Estados Unidos comparte públicamente su evaluación de que Rusia lanzó ataques cibernéticos a fines de febrero contra redes comerciales de comunicaciones satelitales para interrumpir el comando y control ucranianos durante la invasión, y esas acciones tuvieron impactos indirectos. a otros países europeos”, escribió el secretario de Estado de EE. UU., Antony Blinken, en un declaración. “La actividad deshabilitó terminales de apertura muy pequeña en Ucrania y en toda Europa. Esto incluye decenas de miles de terminales fuera de Ucrania que, entre otras cosas, soportan turbinas eólicas y brindan servicios de Internet a ciudadanos privados”.
AcidRain, el nombre del limpiador analizado por SentinelOne, es una pieza de malware previamente desconocida. AcidRain, que consiste en un archivo ejecutable para el hardware MIPS en los módems Viasat, es la séptima pieza distinta de malware de limpieza asociada con la invasión en curso de Rusia a Ucrania. Los limpiaparabrisas destruyen los datos de los discos duros de una manera que no se puede revertir. En la mayoría de los casos, hacen que los dispositivos o redes enteras queden completamente inutilizables.
Los investigadores de SentinelOne dijeron que encontraron similitudes de desarrollo “no triviales” pero en última instancia “no concluyentes” entre AcidRain y “dstr”, el nombre de un módulo de limpieza en VPNFilter. Las semejanzas incluían una similitud de código del 55 por ciento medida por una herramienta conocida como TLSH, tablas de cadenas de encabezado de sección idénticas y el “almacenamiento del número de llamada al sistema anterior en una ubicación global antes de una nueva llamada al sistema”.
Los funcionarios de Viasat dijeron en ese momento que el análisis y los hallazgos de SentinelOne eran consistentes con el resultado de su propia investigación.
Uno de los primeros signos del hackeo ocurrió cuando más de 5.800 aerogeneradores pertenecientes a la empresa energética alemana Enercon quedaron fuera de servicio. El apagón no impidió que las turbinas giraran, pero evitó que los ingenieros las reiniciaran de forma remota. Desde entonces, Enercon ha logrado que la mayoría de las turbinas afectadas vuelvan a estar en línea y reemplace los módems satelitales.
“El ciberataque tuvo lugar una hora antes de la invasión no provocada e injustificada de Rusia a Ucrania el 24 de febrero de 2022, lo que facilitó la agresión militar”, escribieron funcionarios de la UE en un comunicado. Declaración oficial. “Este ciberataque tuvo un impacto significativo que provocó interrupciones e interrupciones de comunicación indiscriminadas en varias autoridades públicas, empresas y usuarios en Ucrania, además de afectar a varios Estados miembros de la UE”.
en un declaración separadaLa secretaria de Relaciones Exteriores británica, Liz Truss, dijo: “Esta es una evidencia clara e impactante de un ataque deliberado y malicioso de Rusia contra Ucrania que tuvo consecuencias significativas para la gente común y las empresas en Ucrania y en toda Europa”.
Delincuente cibernético reincidente
El ciberataque fue uno de los muchos que Rusia ha llevado a cabo contra Ucrania en los últimos ocho años. En 2015 y nuevamente en 2016, piratas informáticos que trabajaban para el Kremlin provocaron apagones que dejaron a cientos de miles de ucranianos sin calefacción durante uno de los meses más fríos.
Aproximadamente a partir de enero de 2022, en el período previo a la invasión de Rusia a su país vecino, Rusia desató una serie de otros ataques cibernéticos contra objetivos ucranianos, incluida una serie de ataques distribuidos de denegación de servicio, desfiguración de sitios web y ataques de limpiaparabrisas.
Además de los dos ataques a la infraestructura eléctrica de Ucrania, la evidencia muestra que Rusia también es responsable de NotPetya, otro limpiador de discos que se lanzó en Ucrania y luego se extendió por todo el mundo, donde causó daños estimados en $ 10 mil millones. En 2018, EE. UU. sancionó a Rusia por el ataque e interferencia de NotPetya en las elecciones de 2016.
Los críticos tienen mucho tiempo dicho que EE. UU. y sus aliados no hicieron lo suficiente para castigar a Rusia por NotPetya o los ataques de 2015 o 2016 en Ucrania, que siguen siendo los únicos ataques conocidos en el mundo real para dejar sin electricidad.