31 mar 2023

Archivos #Vulkan: revela las tácticas de guerra cibernética global y doméstica de Rusia

Por Luke Harding, Stiliyana Simeonova, Manisha Ganguly y Dan Sabbagh

The Guardian | Paper Trail Media | Spiegel

  • Documentos filtrados por un denunciante enojado por la guerra de Ucrania
  • Consultoría privada de Moscú refuerza la guerra cibernética rusa
  • Las herramientas admiten operaciones de hacking y ataques a la infraestructura.
  • Documentos vinculados al notorio grupo de hackers ruso Sandworm
  • Programa ruso tiene como objetivo controlar internet y difundir desinformación

La discreta oficina se encuentra en los suburbios del noreste de Moscú. Un cartel dice: "Centro de negocios". Es el lugar donde Pedro el Grande una vez entrenó a su poderoso ejército. Dentro del edificio de seis pisos, una nueva generación está ayudando en las operaciones militares rusas. Sus armas son más avanzadas que las de la era de Pedro el Grande: no picas y alabardas, sino herramientas de hacking y desinformación.

Los archivos de Vulkan, que datan de 2016 a 2021, fueron filtrados por un denunciante anónimo enojado por la guerra de Rusia en Ucrania. Tales filtraciones de Moscú son extremadamente raras. Días después de la invasión en febrero del año pasado, la fuente se acercó al periódico alemán Süddeutsche Zeitung y dijo que "el GRU y el FSB se esconden detrás de Vulkan".

Posteriormente, la fuente compartió los datos y más información con la startup de investigación Paper Trail Media, con sede en Múnich. Durante varios meses, periodistas que trabajan para 11 medios de comunicación, incluidos The Guardian, Washington Post y Le Monde, han investigado los archivos en un consorcio liderado por Paper Trail Media y Der Spiegel.

Paper Trail Media media reúne a algunos de los mejores periodistas de investigación europeos. El equipo galardonado hace periodismo de impacto internacional: impreso, en línea, en podcasts y video. Sus reporteros han estado trabajando con el Consorcio Internacional de Periodistas de Investigación (ICIJ), la Red de Historias Prohibidas, el Proyecto de Informes de Corrupción y Crimen Organizado (OCCRP), así como con el Colectivo de Datos Anticorrupción. Las revelaciones desencadenan regularmente debates, investigaciones y cambios en las leyes.

Los ingenieros de software detrás de estos sistemas son empleados de NTC Vulkan. En la superficie, parece una empresa de consultoría de ciberseguridad común y corriente. Sin embargo, una filtración de archivos secretos de la compañía ha expuesto su trabajo para reforzar las capacidades de guerra cibernética de Vladimir Putin.

Miles de páginas de documentos secretos revelan cómo los ingenieros de Vulkan han trabajado para las agencias militares y de inteligencia rusas para apoyar las operaciones de hacking global, capacitar a los agentes antes de los ataques a la infraestructura nacional, difundir desinformación y controlar secciones de Internet.

El trabajo de la empresa está vinculado al Servicio de Seguridad Federal o FSB, la agencia de espionaje nacional; las Divisiones Operativas y de Inteligencia de las Fuerzas Armadas, conocidas como GOU y GRU; y la SVR, la Organización de Inteligencia Extranjera de Rusia.

Un documento vincula una herramienta de ataque cibernético Vulkan con el notorio grupo de hacking Sandworm, que según el gobierno de EE.UU. provocó dos veces apagones en Ucrania, interrumpió los Juegos Olímpicos en Corea del Sur y lanzó NotPetya, el malware económicamente más destructivo de la historia. Con el nombre en código Scan-V, rastrea Internet en busca de vulnerabilidades, que luego se almacenan para su uso en futuros ataques cibernéticos.

Otro sistema, conocido como Amezit, equivale a un modelo para vigilar y controlar Internet en las regiones bajo el mando de Rusia, y también permite la desinformación a través de perfiles falsos en las redes sociales. Un tercer sistema construido por Vulkan, Crystal-2V, es un programa de capacitación para ciberoperadores en los métodos necesarios para derribar la infraestructura ferroviaria, aérea y marítima. Un archivo que explica el software dice: "El nivel de confidencialidad de la información procesada y almacenada en el producto es 'Top Secret'".

"La gente debería saber los peligros de esto", dijo el denunciante. "Debido a los acontecimientos en Ucrania, decidí hacer pública esta información. La empresa está haciendo cosas malas y el gobierno ruso es cobarde y está equivocado. Estoy enojado por la invasión de Ucrania y las cosas terribles que están sucediendo allí. Espero que puedan usar esta información para mostrar lo que sucede detrás de puertas cerradas".

Cinco agencias de inteligencia occidentales confirmaron que los archivos de Vulkan parecen ser auténticos. La empresa y el Kremlin no respondieron a múltiples solicitudes de comentarios.

La fuga contiene correos electrónicos, documentos internos, planes de proyectos, presupuestos y contratos. Ofrecen información sobre los amplios esfuerzos del Kremlin en el ámbito cibernético, en un momento en que está llevando a cabo una guerra brutal contra Ucrania. No se sabe si las herramientas creadas por Vulkan se han utilizado para ataques en el mundo real, en Ucrania o en otros lugares.

Desde el comienzo de la guerra, al menos cinco grupos rusos, patrocinados por el estado o ciberdelincuentes, incluidos Gamaredon, Sandworm, and Fancy Bear, se han dirigido a las agencias gubernamentales y empresas privadas de Ucrania en docenas de operaciones destinadas a interrumpir los servicios o robar información confidencial.

Pero se sabe que los agentes informáticos rusos han atacado repetidamente las redes informáticas ucranianas; una campaña que continúa. Desde la invasión del año pasado, los misiles de Moscú han golpeado a Kiev y otras ciudades, destruyendo infraestructura crítica y dejando al país a oscuras.

Los analistas dicen que Rusia también está involucrada en un conflicto continuo con lo que percibe como su enemigo: Occidente, representado con US, UK, EU, Canada, Australia y New Zealand, todos los cuales han desarrollado sus propias capacidades ciberofensivas clasificadas en una carrera armamentista digital.

Algunos documentos de la filtración contienen lo que parecen ser ejemplos ilustrativos de objetivos potenciales. Uno contiene un mapa que muestra puntos en los EE.UU. y otro contiene los detalles de una central nuclear en Suiza.

Un documento recomiendan que Rusia aumente sus propias capacidades mediante el uso de herramientas de hacking robadas en 2016 de la Agencia de Seguridad Nacional de EE.UU. y publicadas en línea.

John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad cibernética Mandiant, que revisó selecciones del material a pedido del consorcio, dijo: "Estos documentos sugieren que Rusia ve los ataques a la infraestructura crítica civil y la manipulación de las redes sociales como uno y la misma misión, que es esencialmente un ataque a la voluntad de lucha del enemigo".

¿Qué es Vulkan?

El director ejecutivo de Vulkan, Anton Markov, es un hombre de mediana edad, con el pelo corto y bolsas oscuras alrededor de los ojos. Markov fundó Vulkan ("volcán" en español) en 2010, con Alexander Irzhavsky. Ambos son graduados de la academia militar de San Petersburgo y sirvieron en el ejército en el pasado, ascendiendo a capitán y mayor respectivamente.

La compañía es parte del complejo militar-industrial de Rusia. Este mundo subterráneo abarca agencias de espionaje, firmas comerciales e instituciones de educación superior. Especialistas como programadores e ingenieros se mueven de una rama a otra; los actores estatales secretos dependen en gran medida de la experiencia del sector privado.

Vulkan se lanzó en un momento en que Rusia estaba expandiendo rápidamente sus capacidades cibernéticas. Tradicionalmente, el FSB tomaba la delantera en los asuntos cibernéticos. En 2012, Putin nombró al ambicioso y enérgico Sergei Shoigu como ministro de defensa. Shoigu, quien está a cargo de la guerra de Rusia en Ucrania, quería sus propias tropas cibernéticas, reportando directamente a él.

A partir de 2011, Vulkan recibió licencias gubernamentales especiales para trabajar en proyectos militares clasificados y secretos de estado. Es una empresa tecnológica de tamaño medio, con más de 120 empleados, de los cuales unos 60 son desarrolladores de software. No se sabe a cuántos contratistas privados se les otorga acceso a proyectos tan sensibles en Rusia, pero algunas estimaciones sugieren que no son más de una docena.

La cultura corporativa de Vulkan es más Silicon Valley que una agencia de espionaje. Cuenta con un equipo de fútbol del personal y correos electrónicos motivacionales con consejos de acondicionamiento físico y celebraciones de cumpleaños de los empleados. Incluso hay un eslogan optimista: "Hacer del mundo un lugar mejor" que aparece en un brillante video promocional.

Vulkan dice que se especializa en "seguridad de la información"; oficialmente, sus clientes son grandes empresas estatales rusas. Incluyen Sberbank, el banco más grande del país; la aerolínea nacional Aeroflot; y los ferrocarriles rusos. "El trabajo fue divertido. Usamos las últimas tecnologías", dijo un ex empleado que finalmente se fue después de que se desilusionó con el trabajo. "La gente era realmente inteligente. Y el dinero era bueno, muy por encima de la tasa habitual".

Además de la experiencia técnica, esos generosos salarios compraron la expectativa de discreción. Algunos miembros del personal son graduados de la Universidad Técnica Estatal Bauman de Moscú, que tiene una larga historia de proporcionar reclutas al Ministerio de Defensa. Los flujos de trabajo se organizan sobre principios de estricto secreto operativo, y nunca se le dice al personal en qué están trabajando otros departamentos.

El espíritu de la empresa es patriótico, sugiere la filtración. En la víspera de Año Nuevo de 2019, un empleado creó un alegre archivo de Microsoft Excel con música militar soviética y la imagen de un oso. Junto a él estaban las palabras: "APT Magma Bear". La referencia es a grupos de hacking estatales rusos como Cozy Bear y Fancy Bear, y parece apuntar a las propias actividades en la sombra de Vulkan.

Cinco meses después, Markov recordó a sus trabajadores el Día de la Victoria, un feriado del 9 de mayo que celebra la derrota de la Alemania nazi por parte del Ejército Rojo en 1945. "Este es un evento significativo en la historia de nuestro país. Crecí con películas sobre la guerra y tuve la suerte de comunicarme con los veteranos y escuchar sus historias. Estas personas murieron por nosotros, para que podamos vivir en Rusia".

Uno de los proyectos de mayor alcance de Vulkan se llevó a cabo con la bendición de la unidad de ciberguerreros más infame del Kremlin, conocida como Sandworm. Según los fiscales estadounidenses y los gobiernos occidentales, durante la última década, Sandworm ha sido responsable de operaciones de hacking a una escala asombrosa. Ha llevado a cabo numerosos ataques: manipulación política, sabotaje cibernético, interferencia electoral, volcado de correos electrónicos y filtraciones.

Sandworm desactivó la red eléctrica de Ucrania en 2015. Al año siguiente, participó en la descarada operación de Rusia para descarrilar las elecciones presidenciales de EE.UU. Dos de sus agentes fueron acusados de distribuir correos electrónicos robados a los demócratas de Hillary Clinton usando un personaje falso, Guccifer 2.0. Luego, en 2017, Sandworm robó más datos en un intento de influir en el resultado de la votación presidencial francesa, dice Estados Unidos.

Ese mismo año, la unidad desató el ciberataque más importante de la historia. Los operativos utilizaron una pieza de malware a medida llamada NotPetya. Comenzando en Ucrania, NotPetya se extendió rápidamente por todo el mundo. Derribó empresas de transporte, hospitales, sistemas postales y fabricantes de productos farmacéuticos fuera de línea: una avalancha digital que se extendió del mundo virtual al físico.

Los archivos de Vulkan arrojan luz sobre una pieza de maquinaria digital que podría desempeñar un papel en el próximo ataque desatado por Sandworm.

Un sistema 'construido con fines ofensivos'

Una unidad especial dentro del "centro principal de tecnologías especiales" de GRU, Sandworm es conocido internamente por su número de campo 74455. Este código aparece en los archivos de Vulkan como una "parte de aprobación" en un documento técnico. Describe un "protocolo de intercambio de datos" entre una base de datos militar aparentemente preexistente que contiene inteligencia sobre debilidades de software y hardware, y un nuevo sistema que se le había encargado a Vulkan que ayudara a construir: Scan-V.

Los grupos de atacantes informáticos como Sandworm penetran en los sistemas informáticos buscando primero los puntos débiles. Scan-V respalda ese proceso, realizando un reconocimiento automatizado de objetivos potenciales en todo el mundo en una búsqueda de servidores y dispositivos de red potencialmente vulnerables. Luego, la inteligencia se almacena en un depósito de datos, lo que brinda a los atacantes informáticos un medio automatizado para identificar objetivos.

Gabby Roncone, otra experta de la empresa de seguridad cibernética Mandiant, dio la analogía de escenas de viejas películas militares donde la gente coloca "su artillería y tropas en el mapa. Quieren entender dónde están los tanques enemigos y dónde deben atacar primero para romper las líneas enemigas", dijo.

El proyecto Scan fue encargado en mayo de 2018 por el Instituto de Ingeniería Física, un centro de investigación en la región de Moscú estrechamente asociado con el GRU. Todos los detalles fueron clasificados. No está claro si Sandworm era un usuario previsto del sistema, pero en mayo de 2020 un equipo de Vulkan visitó una instalación militar en Khimki, la misma ciudad en las afueras de Moscú donde se encuentra la unidad de hacking, para probar el sistema Scan.

"Scan definitivamente está diseñado para fines ofensivos. Se adapta cómodamente a la estructura organizativa y al enfoque estratégico del GRU", dijo un analista después de revisar los documentos. "No encuentras diagramas de red y documentos de diseño como este muy a menudo. Realmente es un asunto muy complicado".

Los archivos filtrados no contienen información sobre el código malicioso ruso o el malware utilizado para las operaciones de hacking. Pero un analista de Google dijo que en 2012 la empresa de tecnología vinculó a Vulkan con una operación que involucraba un malware conocido como MiniDuke. La SVR, la Agencia de Inteligencia Extranjera de Rusia, usó MiniDuke en campañas de phishing. La filtración muestra que una parte encubierta del SVR, la unidad militar 33949, contrató a Vulkan para trabajar en múltiples proyectos. La empresa nombró a su cliente "sanatorium" y "dispensary".

Control, vigilancia y desinformación en Internet

En 2018, un equipo de empleados de Vulkan viajó al sur para asistir a la prueba oficial de un amplio programa que permite el control, la vigilancia y la desinformación de Internet. La reunión tuvo lugar en el Instituto de Investigación de Radio de Rostov-on-Don, vinculado al FSB. Subcontrató a Vulkan para ayudar en la creación del nuevo sistema, denominado Amezit, que también estaba vinculado en los archivos al ejército ruso.

"Mucha gente trabajó en Amezit. Se invirtió dinero y tiempo", recuerda un exempleado. "Otras empresas también participaron, posiblemente porque el proyecto era muy grande e importante".

Vulkan jugó un papel central. Ganó un contrato inicial para construir el sistema Amezit en 2016, pero los documentos sugieren que los ingenieros de Vulkan aún estaban mejorando partes de Amezit hasta bien entrado 2021, con planes para un mayor desarrollo en 2022.

Una parte de Amezit es doméstica, lo que permite a los operativos secuestrar y tomar el control de Internet si estallan disturbios en una región rusa, o si el país gana un bastión sobre el territorio de un estado nación rival, como Ucrania. El tráfico de Internet que se considere políticamente dañino puede eliminarse antes de que tenga la posibilidad de propagarse.

Un documento interno de 387 páginas explica cómo funciona Amezit. Las fuerzas armadas necesitan acceso físico a hardware, como torres de telefonía móvil, y comunicaciones inalámbricas. Una vez que controlan la transmisión, el tráfico puede ser interceptado. Los espías militares pueden identificar a las personas que navegan por la web, ver a qué acceden en línea y rastrear la información que comparten los usuarios.

Desde la invasión del año pasado, Rusia arrestó a manifestantes contra la guerra y aprobó leyes punitivas para evitar las críticas públicas a lo que Putin llama una "operación militar especial". Los archivos de Vulkan contienen documentos vinculados a una operación del FSB para monitorear el uso de las redes sociales dentro de Rusia a una escala gigantesca, utilizando análisis semánticos para detectar contenido "hostil".

Según una fuente familiarizada con el trabajo de Vulkan, la empresa desarrolló un programa de recolección a granel para el FSB llamado Fraction. Peina sitios como Facebook u Odnoklassniki, el equivalente ruso, en busca de palabras clave. El objetivo es identificar posibles figuras de la oposición a partir de datos de código abierto.

El personal de Vulkan visitaba regularmente el centro de seguridad de la información del FSB en Moscú, la unidad cibernética de la agencia, para consultar sobre el programa secreto. El edificio está al lado de la sede de Lubyanka del FSB y de una librería; la filtración revela que los espías de la unidad fueron apodados en broma "amantes de los libros".

El desarrollo de estos programas secretos habla de la paranoia en el corazón del liderazgo de Rusia. Está aterrorizado por las protestas callejeras y la revolución del tipo visto en Ucrania, Georgia, Kirguistán y Kazajstán. Moscú considera que Internet es un arma crucial para mantener el orden. En casa, Putin ha eliminado a sus oponentes. Los disidentes han sido encerrados; críticos como Alexei Navalny envenenados y encarcelados.

Es una pregunta abierta si los sistemas Amezit se han utilizado en la Ucrania ocupada. En 2014, Rusia se tragó de forma encubierta las ciudades orientales de Donetsk y Lugansk. Desde el año pasado, ha tomado más territorio y cerrado los servicios de Internet y móviles de Ucrania en las áreas que controla. Los ciudadanos ucranianos se han visto obligados a conectarse a través de proveedores de telecomunicaciones con sede en Crimea, con tarjetas SIM entregadas en campamentos de "filtración" dirigidos por el FSB.

Sin embargo, los reporteros pudieron rastrear la actividad del mundo real llevada a cabo por cuentas de redes sociales falsas vinculadas a Vulkan como parte de un subsistema de Amezit, cuyo nombre en código es PRR.

Herramientas para la propaganda doméstica automatizada

Ya se sabía que el Kremlin había hecho uso de su fábrica de desinformación, la Agencia de Investigación de Internet con sede en San Petersburgo, que ha sido incluida en la lista de sanciones de Estados Unidos. El multimillonario Yevgeny Prigozhin, aliado cercano de Putin, está detrás de la operación de manipulación masiva. Los archivos de Vulkan muestran cómo el ejército ruso contrató a un contratista privado para construir herramientas similares para la propaganda doméstica automatizada.

Este subsistema Amezit permite al ejército ruso llevar a cabo operaciones de desinformación encubiertas a gran escala en las redes sociales y en Internet, mediante la creación de cuentas que se asemejan a personas reales en línea o avatares. Los avatares tienen nombres y fotos personales robadas, que luego se cultivan durante meses para crear una huella digital realista.

La filtración contiene capturas de pantalla de cuentas de Twitter falsas y hashtags utilizados por el ejército ruso desde 2014 hasta principios de este año. Difunden desinformación, incluida una teoría de la conspiración sobre Hillary Clinton y la negación de que el bombardeo de Siria por parte de Rusia haya matado a civiles. Tras la invasión de Ucrania, una cuenta falsa de Twitter vinculada a Vulkan publicó: "Excelente líder #Putin".

Otro proyecto desarrollado por Vulkan vinculado a Amezit es mucho más amenazante. Con el nombre en código Crystal-2V, es una plataforma de capacitación para ciberoperadores rusos. Capaz de permitir el uso simultáneo de hasta 30 alumnos, parece simular ataques contra una variedad de objetivos esenciales de infraestructura nacional: líneas ferroviarias, estaciones eléctricas, aeropuertos, vías fluviales, puertos y sistemas de control industrial.

¿Un riesgo de seguridad continuo?

La naturaleza intrusiva y destructiva de las herramientas para las que se contrató a Vulkan genera preguntas difíciles para los desarrolladores de software que han trabajado en estos proyectos. ¿Pueden ser descritos como ciber-mercenarios? ¿O espías rusos? Algunos casi seguro que lo son. Otros son quizás meros engranajes en una máquina más amplia, que realizan importantes tareas de ingeniería para el complejo cibermilitar de su país.

Hasta la invasión rusa de Ucrania en 2022, el personal de Vulkan viajaba abiertamente a Europa occidental y asistía a conferencias de TI y ciberseguridad, incluida una reunión en Suecia, para mezclarse con delegados de empresas de seguridad occidentales.

Los ex graduados de Vulkan ahora viven en Alemania, Irlanda y otros países de la UE. Algunos trabajan para corporaciones tecnológicas globales. Dos están en Amazon Web Services y Siemens. Siemens se negó a comentar sobre empleados individuales, pero dijo que tomaba esas preguntas "muy en serio". Amazon dijo que implementó "controles estrictos" y que proteger los datos de los clientes era su "máxima prioridad".

No está claro si los ex ingenieros de Vulkan ahora en el oeste representan un riesgo para la seguridad y si han llamado la atención de las agencias de contrainteligencia occidentales. Al parecer, la mayoría tiene familiares en Rusia, una vulnerabilidad conocida por haber sido utilizada por el FSB para presionar a los profesionales rusos en el extranjero para que colaboren.

Contactado por un reportero, un ex miembro del personal expresó su pesar por haber ayudado a la agencia de espionaje nacional y militar de Rusia. "Al principio no estaba claro para qué se usaría mi trabajo. Con el tiempo entendí que no podía seguir y que no quería apoyar al régimen. Tenía miedo de que me pasara algo o terminara en la cárcel".

También hubo enormes riesgos para el denunciante anónimo detrás de los archivos de Vulkan. El régimen ruso es conocido por cazar a aquellos a los que considera traidores. En su breve intercambio con un periodista alemán, el filtrador dijo que eran conscientes de que dar información confidencial a los medios extranjeros era peligroso. Pero habían tomado precauciones que les cambiaron la vida. Habían dejado atrás su vida anterior, dijeron, y ahora existían "como un fantasma".

Fuente: The Guardian

Traducción Cristian Borghello

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!