Sandworm (grupo de hackers)

Sandworm
Tipo unidad militar y actor de amenazas
Campo operaciones psicológicas y guerra informática
Sede central Jimki (Rusia)
Coordenadas 55°53′03″N 37°27′19″E / 55.884238, 37.455146
[editar datos en Wikidata]

Sandworm [gusano de arena] es una amenaza persistente avanzada operada por la Unidad Militar 74455, una unidad de guerra cibernética del GRU, el servicio de inteligencia militar de Rusia.[1]​ Otros nombres para el grupo, dados por investigadores de ciberseguridad, incluyen Telebots, Voodoo Bear y Iron Viking.[2][3]

Historia

[editar]

Se cree que el equipo está detrás del ataque cibernético a la red eléctrica de Ucrania de diciembre de 2015,[4][5][6]​ los ataques cibernéticos de 2017 en Ucrania utilizando el malware NotPetya,[7]​ varios esfuerzos de interferencia en las elecciones presidenciales francesas de 2017[2]​ y el ciberataque a la ceremonia inaugural de los Juegos Olímpicos de Invierno de 2018 (Olympic destroyer).[8][9]​ El entonces Fiscal Federal para el Distrito Oeste de Pensilvania, Scott Brady, describió la campaña cibernética del grupo como «representando los ataques cibernéticos más destructivos y costosos de la historia».[2]

El 19 de octubre de 2020 un gran jurado con sede en EE. UU. emitió una acusación a seis presuntos oficiales de la Unidad 74455 de delitos cibernéticos.[10][11][12]​ Los oficiales, Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko y Petr Nikolayevich Pliskin, fueron acusados individualmente de conspiración para cometer fraude y abuso informático, conspiración para cometer fraude electrónico, dañar los ordenadores protegidos y el robo de identidad agravado. Cinco de los seis fueron acusados de desarrollar abiertamente herramientas de piratería, mientras que Ochichenko fue acusado de participar en ataques de spearphishing contra los Juegos Olímpicos de Invierno de 2018 y de realizar un reconocimiento técnico e intentar piratear el dominio oficial del Parlamento de Georgia.[2]

En febrero de 2022, Sandworm supuestamente lanzó Cyclops Blink como malware. El malware es similar a VPNFilter.[13]​ El malware permite que se construya una red de bots y afecta a los enrutadores ASUS y a los dispositivos de WatchGuard Firebox y XTM. CISA emitió una advertencia sobre este malware.[14]

A fines de marzo de 2022, los investigadores de derechos humanos y los abogados de la Facultad de Derecho de UC Berkeley enviaron una solicitud formal al Fiscal de la Corte Penal Internacional en La Haya.[15]​ Instaron a la Corte Penal Internacional a considerar cargos por crímenes de guerra contra piratas informáticos rusos por ataques cibernéticos contra Ucrania.[15]​ Sandworm fue nombrado específicamente en relación con los ataques de diciembre de 2015 a los servicios eléctricos en el oeste de Ucrania y los ataques de 2016 a los servicios públicos en Kiev en 2016.[15]

En abril de 2022, Sandworm intentó un apagón en Ucrania.[16]​ Se dice que es el primer ataque en cinco años que usa una variante de malware de Industroyer llamada Industroyer2.[17]

El 25 de enero de 2023 ESET atribuyó un borrador de vulnerabilidad de Active Directory a Sandworm.[18]

Véase también

[editar]

Referencias

[editar]
  1. Greenberg, Andy (2019). Sandworm: a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers (en inglés). Knopf Doubleday. ISBN 978-0-385-54441-2. 
  2. a b c d «Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace». DOJ Office of Public Affairs (en inglés). United States Department of Justice. 19 de octubre de 2020. Consultado el 23 de julio de 2021. 
  3. Timberg, Craig (30 de marzo de 2023). «Secret trove offers rare look into Russian cyberwar ambitions». The Washington Post (en inglés). Consultado el 31 de marzo de 2023. 
  4. «Hackers shut down Ukraine power grid». www.ft.com. 5 de enero de 2016. Consultado el 28 de octubre de 2020. 
  5. Volz, Dustin (25 de febrero de 2016). «U.S. government concludes cyber attack caused Ukraine power outage». Reuters (en inglés). Consultado el 28 de octubre de 2020. 
  6. Hern, Alex (7 de enero de 2016). «Ukrainian blackout caused by hackers that attacked media company, researchers say». The Guardian (en inglés). ISSN 0261-3077. Consultado el 28 de octubre de 2020. 
  7. «The Untold Story of NotPetya, the Most Devastating Cyberattack in History». Wired (en inglés). ISSN 1059-1028. Consultado el 28 de octubre de 2020. 
  8. Greenberg, Andy. «Inside Olympic Destroyer, the Most Deceptive Hack in History». Wired (en inglés). ISSN 1059-1028. Consultado el 28 de octubre de 2020. 
  9. Bowen, Andrew S. (24 de noviembre de 2020). Russian Military Intelligence: Background and Issues for Congress (en inglés). Congressional Research Service. p. 16. Consultado el 21 de julio de 2021. 
  10. Cimpanu, Catalin. «US charges Russian hackers behind NotPetya, KillDisk, OlympicDestroyer attacks». ZDNet (en inglés). Consultado el 28 de octubre de 2020. 
  11. «Russian cyber-attack spree shows what unrestrained internet warfare looks like». The Guardian (en inglés). 19 de octubre de 2020. Consultado el 28 de octubre de 2020. 
  12. «US Indicts Sandworm, Russia's Most Destructive Cyberwar Unit». Wired (en inglés). ISSN 1059-1028. Consultado el 28 de octubre de 2020. 
  13. Hardcastle, Jessica Lyons. «Cyclops Blink malware sets up shop in ASUS routers». The Register (en inglés). Consultado el 21 de marzo de 2022. 
  14. «CISA Adds Eight Known Exploited Vulnerabilities to Catalog | CISA». www.cisa.gov (en inglés). Consultado el 13 de abril de 2022. 
  15. a b c Greenberg, Andy (12 de mayo de 2022). «The Case for War Crimes Charges Against Russia’s Sandworm Hackers». Wired (en inglés). Consultado el 7 de julio de 2022. 
  16. Greenberg, Andy. «Russia's Sandworm Hackers Attempted a Third Blackout in Ukraine». Wired (en inglés estadounidense). ISSN 1059-1028. Consultado el 13 de abril de 2022. 
  17. «Industroyer2: Industroyer reloaded». www.welivesecurity.com (en inglés). Consultado el 13 de abril de 2022. 
  18. «Na Ukrajine maže počítače nový trójsky kôň. Hackeri majú byť prepojení na Rusko» [Un nuevo caballo de Troya está infectando ordenadores en Ucrania. Se supone que los hackers están conectados a Rusia]. Živé.sk (en eslovaco). 27 de enero de 2023. Consultado el 27 de enero de 2023. 

Enlaces externos

[editar]