Soldado ucraniano gestionando una terminal Starlink. Reuters
La ingeniosa táctica de un grupo de hackers rusos para atacar a dispositivos militares de Ucrania conectados a Starlink
- Investigadores de Microsoft detallan la estrategia que usan hackers rusos para espiar servicios militares y centros esenciales de Ucrania.
- Más información: Rusia detiene a uno de los hackers más buscados por el FBI: EEUU ofreció 10 millones de dólares por su paradero
El mundo de la ciberdelincuencia se ha convertido en un gran mercado donde la tecnología desarrollada por unos, se vende y utiliza por otros a lo largo y ancho del mundo. El entramado dificulta cada vez más el seguimiento de la actividad y la posibilidad de acusar a un responsable directo de ataques como los que sufre España a diario. Esta maraña también se percibe en la llamada ciberguerra donde ciberdelincuentes rusos han dado con una innovadora táctica para espiar a sus objetivos.
Los investigadores de Microsoft afirman haber detectado en varias ocasiones este año, y anteriores, esta peculiar táctica por parte del grupo de ciberdelincuentes rusos conocido como Venomous Bear o Waterbug. Microsoft lo ha apodado como Secret Blizzard en su investigación en la que ha detectado como se ha servido de los recursos de otros grupos que habían sido identificados como autores de otros ataques, por ejemplo, contra los operadores de drones ucranianos.
Varios informes de Microsoft Threats Inteligence detallan el proceso de investigación por el que han detectado como este grupo de hackers rusos ha estado utilizando puntos de apoyo de terceros, robando o comprando acceso de forma subrepticia, para llevar a cabo su actividad de ciberespionaje.
Hackers atacando a otros hackers para realizar hackeos a terceros o como lo ha denominado Microsoft, el gorroneo entre piratas informáticos. Según explican los investigadores, el método más común para que Secret Blizzard acceda a esa infraestructura es mediante phishing, seguido de otros ataques en el servidor y dispositivos periféricos.
Los piratas informáticos vinculados con las autoridades y la causa rusas se han apropiado de la infraestructura de otras bandas de ciberseguridad para infectar la tecnología que las tropas ucranianas están usando en el frente. Uno de los casos ilustrados en su informe es la infección de dispositivos que salían de direcciones IP de Starlink, el operador satelital de Elon Musk que ha sido clave en conectividad de muchos equipos militares ucranianos durante toda la contienda.
La antena de Starlink podrá ser instalada sin ayuda de un experto Omicrono
Los objetivos de Secret Blizzard suelen pertenecer a una amplia gama de sectores, pero más principalmente a ministerios de asuntos exteriores, embajadas, oficinas gubernamentales, departamentos de defensa y empresas relacionadas con la defensa en todo el mundo. Su meta es obtener acceso a largo plazo a sistemas de inteligencia para recopilar información estratégica.
Entre marzo y abril de 2024, Microsoft Threat Intelligence observó que Secret Blizzard utilizaba el malware de bot Amadey relacionado con la actividad cibercriminal que Microsoft rastrea como Storm-1919 para descargar sus puertas traseras en dispositivos objetivos seleccionados específicamente asociados con el ejército ucraniano.
![](["https:\/\/s1.elespanol.com\/2024\/09\/05\/omicrono\/defensa-y-espacio\/883671761_248942420_320x180.jpg"])
Microsoft Threat Intelligence valora que esta operación se haya conseguido comprado el uso de los bots Amadey, o que hayan tomado control subrepticiamente de una parte de la cadena de ataque de Amadey.
No se trata de una práctica del todo inusual. Otros equipos de investigación como Black Lotus Labs de Lumen también han informado recientemente que Secret Blizzard se apropió de las herramientas de un grupo de amenazas con sede en Pakistán identificado como Storm-0156 para instalar puertas traseras y recopilar información sobre objetivos en el sur de Asia.
![](["https:\/\/s1.elespanol.com\/2017\/11\/16\/elandroidelibre\/el_androide_libre_262488017_181472349_320x180.jpg"])
Esta actividad se detectó por primera vez a fines de 2022, el año en que comenzó el conflicto ruso ucraniano. En total, Microsoft afirma que Secret Blizzard ha utilizado las herramientas y la infraestructura de al menos otros seis grupos de amenazas en los últimos siete años.
Aún así, la multinacional manda un mensaje de calma: "si bien este enfoque tiene algunos beneficios que podrían hacer que más adversarios de amenazas lo utilicen, es menos útil contra redes reforzadas, donde las buenas defensas de los puntos finales y de la red permiten detectar actividades de múltiples adversarios de amenazas para su remediación".
