Estados Unidos y la Unión Europea dijeron el martes que Rusia fue responsable de un ataque cibernético en febrero que paralizó una red satelital en Ucrania y países vecinos, interrumpió las comunicaciones e interrumpió un parque eólico utilizado para generar electricidad.
El ataque del 24 de febrero desató un malware de limpieza que destruyó miles de módems satelitales utilizados por los clientes de la empresa de comunicaciones Viasat. Un mes después, la empresa de seguridad SentinelOne dijo que un análisis del malware Wiper utilizado en el ataque reveló varias similitudes técnicas con VPNFilter, el malware detectado en más de 500 000 módems domésticos y de pequeñas oficinas en 2018. Varias agencias del gobierno de EE. UU. asignaron VPNFilter Russian a los actores de amenazas estatales.
Decenas de miles de módems eliminados por AcidRain
“Hoy, en apoyo de la Unión Europea y otros socios, Estados Unidos comparte públicamente su evaluación de que Rusia lanzó ataques cibernéticos en redes comerciales de comunicaciones satelitales a fines de febrero para interrumpir el comando y control ucranianos durante la invasión, y que estas acciones tuvieron un impacto en otros países europeos”, escribió el secretario de Estado de Estados Unidos, Antony Blinken, en un comunicado. “La actividad ha desactivado terminales con aperturas muy pequeñas en Ucrania y en toda Europa. Esto incluye decenas de miles de terminales fuera de Ucrania que soportan turbinas eólicas y brindan servicios de Internet a personas, entre otras cosas”.
AcidRain, el nombre del limpiador analizado por SentinelOne, es un malware previamente desconocido. AcidRain consiste en un ejecutable para el hardware MIPS en los módems Viasat y es el séptimo malware de limpieza único relacionado con la invasión en curso de Rusia a Ucrania. Los limpiaparabrisas destruyen los datos de los discos duros de una manera que no se puede deshacer. En la mayoría de los casos, hacen que los dispositivos o redes enteras queden completamente inutilizables.
Los investigadores de SentinelOne dijeron que encontraron similitudes de desarrollo «no triviales» pero en última instancia «no concluyentes» entre AcidRain y «dstr», el nombre de un módulo de limpieza en VPNFilter. Las similitudes incluían una similitud de código del 55 por ciento medida por una herramienta llamada TLSH, tablas de cadenas de encabezado de sección idénticas y «almacenar el número de llamada al sistema anterior en una ubicación global antes de una nueva llamada al sistema».
Los funcionarios de Viasat dijeron en ese momento que el análisis y los resultados de SentinelOne eran consistentes con los hallazgos de su propia investigación.
Uno de los primeros signos del hackeo ocurrió cuando se desconectaron más de 5.800 aerogeneradores pertenecientes a la empresa energética alemana Enercon. La falla no impidió que las turbinas giraran, pero sí evitó que los ingenieros las reiniciaran de forma remota. Mientras tanto, Enercon logró volver a poner en funcionamiento la mayoría de las turbinas afectadas y reemplazar los módems satelitales.
“El ciberataque tuvo lugar una hora antes de la invasión no provocada e injustificada de Rusia a Ucrania el 24 de febrero de 2022, lo que facilitó la agresión militar”, escribieron funcionarios de la UE en un comunicado oficial. «Este ataque cibernético tuvo un impacto significativo, causando cortes de comunicación aleatorios e interrupciones a múltiples autoridades, empresas y usuarios en Ucrania y afectando a varios estados miembros de la UE».
En una declaración separada, la secretaria de Relaciones Exteriores británica, Liz Truss, dijo: «Esta es una evidencia clara e impactante de un ataque deliberado y malicioso contra Ucrania por parte de Rusia, que ha tenido consecuencias significativas para los ciudadanos y las empresas en Ucrania y en toda Europa».
ciberdelincuentes reincidentes
El ciberataque fue uno de los muchos que Rusia ha llevado a cabo contra Ucrania en los últimos ocho años. En 2015 y nuevamente en 2016, los piratas informáticos que trabajaban para el Kremlin provocaron cortes de energía que dejaron a cientos de miles de ucranianos sin calefacción en uno de los meses más fríos.
Aproximadamente a partir de enero de 2022, en el período previo a la invasión de Rusia a su país vecino, Rusia desató una variedad de otros ataques cibernéticos contra objetivos ucranianos, incluida una serie de ataques distribuidos de denegación de servicio, desfiguración de sitios web y ataques de limpiaparabrisas.
Aparte de los dos ataques a la infraestructura energética de Ucrania, Rusia también es responsable de NotPetya, otro limpiador de discos duros lanzado en Ucrania y luego distribuido por todo el mundo, que causó daños estimados en 10.000 millones de dólares. En 2018, EE. UU. sancionó a Rusia por el ataque e interferencia de NotPetya en las elecciones de 2016.
Los críticos han dicho durante mucho tiempo que EE. UU. y sus aliados no han hecho lo suficiente para castigar a Rusia por NotPetya o los ataques de 2015 o 2016 contra Ucrania, que siguen siendo los únicos ataques conocidos en el mundo real para cortar el suministro eléctrico.