Sandworm, así funciona el grupo de hackers rusos en busca y captura que desafía a la cumbre de la OTAN

Un grupo de seis hackers rusos, bautizados como Sandworm, están en el punto de mira del Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), por la próxima celebración de la cumbre de la OTAN en Madrid. Pero Sandworm no sólo es vigilado por el CNI. También los especialistas en ciberseguridad de la Policía Nacional y la Guardia Civil le siguen la pista y, por supuesto, el FBI norteamericano, que tiene fichados a sus miembros, con nombre y apellidos, en su lista de los más buscados. Entre los últimos «trabajos» que se les atribuye consta haber tumbado las comunicaciones ucranianas horas antes de la invasión de Rusia, con ayuda de otros hackers rusos.

Según el Federal Bureau Investigation (FBI) de Estados Unidos, los seis hackers rusos, Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko y Petr Nikolayevich Pliskin, están acusados desde el 15 de octubre de 2020 por «un gran jurado federal con sede en el distrito Oeste de Pensilvania» que emitió una acusación formal «contra seis oficiales de inteligencia militar rusos», por continúa el FBI «su supuesta participación en atacar y comprometer sistemas informáticos en todo el mundo, incluidos los relacionados con infraestructura crítica en Ucrania, una campaña política en Francia y en Georgia, y provocar víctimas internacionales de los ataques de un malware llamado «NotPetya» (incluidos los proveedores de infraestructuras críticas) y provocar víctimas internacionales relacionadas con los Juegos Olímpicos de Invierno 2018″. 

La acusación formal contra estos seis militares al servicio del GRU (Departamento Central de Inteligencia Militar de las Fuerzas Armadas de la Federación Rusa) es todavía de «conspiración de piratería informática con la intención de desplegar malware destructivo y tomar otras acciones disruptivas, por la estrategia en beneficio de Rusia, a través del acceso no autorizado a computadoras de las víctimas». El jurado federal también los acusa de «registro falso de un nombre de dominio, conspiración para cometer fraude electrónico, daño intencional a computadoras protegidas, robo de identidad agravado y complicidad en esos delitos». Para ellos hay una orden de arresto federal emitida.

Yuriy Sergeyevich Andrienko es el único que no nació en Rusia, ya que lo hizo en Minsk (actual Bielorrusia), y se alega, al igual que sus compañeros, que es oficial de la Inteligencia rusa, asignado a la Unidad 74455 del GRU. Su última localización se sitúa en Moscú, al igual que la del resto del grupo.

Ataques

Entre el 13 y el 17 de enero de este 2022, los hackers rusos y bielorrusos atacaron entidades militares, gubernamentales y bancarias de Ucrania, con el objetivo de destruir sus bases de datos y bloquear sus sistemas operativos. El 24 de febrero de 2022, Rusia invadía Ucrania. Los ataques más recientes de hackers han tenido como objetivo destruir las bases de datos de servicios de telecomunicación y ministerios ucranianos.

Pero este grupo no va a ser el único vigilado por los encargados de la ciberseguridad durante la cumbre de la OTAN. En el punto de mira de los expertos nacionales e internacionales también están otros como los bielorrusos UNC1151, theMxOnday, FancyBear o Conti, entre cuyas últimas «hazañas» está haber cobrado 602 millones de euros por el secuestro informático de cientos de empresas.

FancyBear es también un grupo de hackers rusos que ha sido asociado a la inteligencia militar rusa (GRU) por la oficina de Asuntos Exteriores de la Commonwealth, así como por empresas particulares expertas en seguridad como SecureWorks, ThreatConnect y Mandiant. Incluso el Fiscal Especial de Estados Unidos identificó a FancyBear como la Unidad GRU 26165. Se cree que opera desde mediados de la década del 2000. Sus objetivos preferidos hasta ahora han sido organizaciones gubernamentales, militares y de seguridad de estados del Cáucaso como Armenia, Azerbaiyán y Georgia. A ellos se les achacan los ataques cibernéticos contra el Parlamento alemán, el Parlamento noruego, la TV5 Monde de Francia, la Casa Blanca, las estructuras de la OTAN, el Partido Demócrata de EEUU, la Organización para la Seguridad y la Cooperación en Europa y también se cree que ellos estuvieron detrás del sabotaje de la campaña de el candidato a la presidencia de Francia, Emmanuel Macron.

UNC1151 es un grupo de hackers bielorrusos y entre sus últimas actuaciones se les atribuyen diferentes campañas de phishing para infiltrar códigos malignos en bases de datos ucranianas y polacas.  El phishing es una técnica que consiste en el envío de uno o varios correos electrónicos por parte de un hacker a un usuario haciéndose pasar por una entidad conocida como un banco, una empresa, institución pública, etc… con el objeto de robarle  información privada, hacerle pagar una factura o infectar el ordenador con un virus.

Sobre Conti se tiene bastante información, excepto del lugar donde se ubican. Se cree que es un grupo radicado en Rusia desde 2020. Su especialidad es el ransomware o el secuestro de datos de empresas y la petición de un rescate por ellos. A principios de mayo de 2022, el Gobierno de Estados Unidos ofreció una recompensa de 10 millones de dólares por cualquier información sobre el grupo. Durante la invasión rusa de Ucrania el grupo Conti anunció su apoyo a Rusia y amenazó con desplegar «medidas de represalia» si se lanzaban ciberataques contra el país. Como respuesta un anónimo filtró 60.000 mensajes de chats internos del grupo. Se desconoce todavía si intentarán atacar la seguridad de la OTAN.

Todos estos grupos han sido los más activos durante la invasión de Ucrania, pero los expertos han alertado que desde hace unas semanas parecen estar en «standby», como si hubiesen retirado recursos, expertos y herramientas para ahorrarlos. Estos mismos expertos temen que se hayan guardado para la cumbre de la OTAN. Todavía no se sabe si otros colectivos como Anonymous o los polacos Squad303 harán frente a esta amenaza y se pondrán de parte de la OTAN, como hicieron durante los primeros días de la invasión de Ucrania.