El CNI 'desnuda' la ciberguerra de los espías rusos y la criptopiratería de Corea del Norte

El Centro Criptológico Nacional (CCN), organismo adscrito al Centro Nacional de Inteligencia (CNI), ha publicado el informe 'Ciberamenazas y tendencias' en el que 'desnuda' los principales desafíos de seguridad que afrontan en internet España y el resto de países de Occidente por parte de dictaduras como la Rusia de Vladímir Putin o la Corea del Norte del régimen totalitario de Kim Jong-un.

El análisis del espionaje español de las actividades de estos países no es nuevo, ni mucho menos, tal y como lo evidencian las diferentes actuaciones conocidas del CNI. Como por ejemplo cuando en 2007 se detectó una fuga de información hacia Rusia protagonizada por el exagente asturiano Roberto Flórez, que acabó condenado por el Tribunal Supremo a 9 años de prisión.

De forma más reciente, en mayo de 2023, la Audiencia Nacional denegaba la nacionalidad a un ciudadano ruso afincado en España desde 2017 tras recibir un informe del CNI que vinculaba a este sujeto nada menos a los servicios de espionaje y a la mafia rusa.

Inteligencia rusa

El documento de los espías españoles, a cuya transcripción ha tenido acceso de forma parcial EL PERIÓDICO DE ESPAÑA, aseguraba de forma literal: "Se tiene conocimiento probado del trabajo consciente de [...] para los Servicios de Inteligencia rusos, de los que recibe misiones. Asimismo, se han detectado contactos de este individuo con algunos de los principales líderes del crimen organizado transnacional de origen ruso, para los que también realiza diferentes labores".

De hecho, el informe del Centro Criptológico, publicado en noviembre pasado, advierte de que España también ha sufrido los ataques prorrusos por la posición española favorable a Ucrania. En concreto, relata que 14 de octubre de 2022 el grupo hacktivista prorruso "NoName057" promocionó a través de sus canales oficiales de Telegram, en ruso e inglés, "un supuesto ataque de denegación de servicio distribuido (DDoS)" [un intento de sobrecargar de tráfico una web para interrumpir su funcionamiento normal] llevado a cabo por miembros o voluntarios afines al grupo contra la página web del Ministerio de Defensa de Margarita Robles.

"El grupo aseguró que el ataque era en represalia por el envío de armas a Ucrania por parte del Gobierno de España", recuerda el informe, que destaca también que a mediados de octubre de 2022 un agente denominado "Ziyaettin" anunció un ataque similar al anterior contra las web del "Banco de España, del Presidente del Gobierno y del Consejo de Ministros en España, La Moncloa. El actor ofreció la venta de un acceso a un servidor de base de datos".

Actuación del FSB ruso

Pero, además de las repercusiones sobre España, el informe de los analistas del Centro Criptológico hace un profundo análisis de las actividades del ciberespionaje ruso. Así, señala que la unidad 64829 del Servicio Federal de Seguridad de la Federación Rusa, conocido con las siglas de FSB, creado en 1995 tras la desaparición del KGB soviético, ha utilizado un colectivo asociado, denominado Gamaredon, que ha tenido "una actividad muy importante durante 2022, orientada al espionaje, la contrainteligencia y las operaciones de influencia".

"Durante la guerra, Gamaredon ha llevado a cabo un gran número de acciones contra Ucrania. En este sentido, entre los objetivos de sus campañas de phishing se encuentran los Servicios de Seguridad de Ucrania, el sector militar y el gubernamental, utilizando señuelos relacionados con la guerra y haciéndose pasar por remitentes de la Academia Nacional del Servicio de Seguridad de Ucrania", indica el dosier.

Pero el FSB también dispone del mecanismo denominado "Turla" para llevar a cabo sus ciberataques. Según el Centro Criptológico es uno de los "más sofisticados en cuanto a capacidades". En 2022 realizó numerosas actividades contra organismos ucranianos, especialmente a través de sus "artefactos Kazuar y Capibar". Pero Turla no sólo ha llevado actividades en Ucrania, pues este actor ha seguido atacando organismos gubernamentales y de defensa.

Unidad del GRU

La Unidad 74455 de la Dirección General de Investigación de las Fuerzas Armadas rusas (GRU) se vale del grupo denominado "Sandworm", que según el Centro Criptológico Nacional podría tratarse de "la unidad dedicada al ciberespacio como dominio de las operaciones combinadas rusas".

Se dedica, siempre según el informe, a realizar sobre todo acciones contra "objetivos estratégicos ucranianos". Un ejemplo de esta ciberataque sería la actuación de "Industroyer2" contra "objetivos de control industrial (ICS) o el ataque contra infraestructuras combinando el ciberataque con un ataque con misiles".

"Sandworm" también ha utilizado diferentes códigos dañinos contra bancos, entidades gubernamentales o subestaciones eléctricas que han provocado cortes de energía en Ucrania. Otro objetivo ha sido el sector de las comunicaciones, pues el 27 de enero se registró un ataque de "Sandworm a Ukrinform" a la Agencia Nacional de Noticias de Ucrania. En estos ataques informáticos se usan "códigos dañinos destructivos que borran los ficheros y eliminan la información" disponible en los ordenadores.

"Fancy Bear"

Asimismo, el GRU ruso dispone del grupo denominado "APT28" o "Fancy Bear", que pertenece a la Unidad 26165, y "es uno de los actores con mayor actividad registrada desde su aparición, en 2004". Su objetivo principal, según la información facilitada por el CNI, ha sido el ciberespionaje, aunque también habría desplegado software malicioso en campañas contra Ucrania.

"Sin embargo, existe una diferencia respecto a otros grupos APT, y es que el robo de información se centra especialmente en la fase de targeting (análisis de objetivos) de una operación combinada, es decir, la fase de obtención de inteligencia de cara al planeamiento de una misión multidominio", dice el informe 'Ciberamenazas y tendencias'. "APT28" también habría participado en un ataque para infectar la cadena de suministro de Ucrania.

Por su parte, el Servicio de Investigaciones Exteriores ruso (SVR), dedicado a la inteligencia fuera del país euroasiático, se ha valido del "actor de ciberespionaje" denominado "APT29". Este colectivo es uno de los grupos con mayor actividad contra los Gobiernos occidentales.

En concreto, prosigue el informe, en 2022 se han detectado ataques contra los sectores de Defensa y varias campañas contra personal de embajadas de la Unión Europea y de la OTAN. También se ha aprovechado de los fallos de sistema de Microsoft para realizar los conocidos como "ataques denominados 'de día 0".

Un actor de Corea del Norte

El dosier del Centro Criptológico no sólo habla de Rusia. De hecho, destaca que entre los actores que han realizado "campañas de gran importancia" se encuentra "Lazarus Group", procedente de Corea del Norte, y que asocia "al Reconnaissance General Bureau (RGB) [el informe utiliza el idioma francés para nombrar a los servicios de espionaje de este país asiático] concretamente al área de inteligencia" de Pionyang.

En 2022 Lazarus llevó a cabo ataques en Europa, especialmente contra la industria aeroespacial y naval. Sin embargo, ha variado su modus operandi, pues para acceder a los terminales atacados aplica técnicas de ingeniería social, en concreto vía LinkedIn, en el que solicita la descarga de un fichero ubicado en un servicio en la nube. Una vez descargado ejecuta la carga maliciosa.

"Mientras que anteriormente era recurrente la suplantación de empresas como Lockheed Martin o Raytheon (dedicadas a la industria de la defensa), durante 2022 también se ha visto la suplantación de empresas del sector tecnológico como META -Facebook-)", destaca el dosier.

Ciberpiratería desde Pionyang

Para el CNI las acciones de cibercrimen de grupos asociados al Gobierno norcoreano "no son una novedad". Pero en 2022 este tipo de operaciones "se han visto incrementadas sustancialmente". En concreto, el Centro Criptológico destaca que algunas investigaciones apuntan que este grupo asociado al Gobierno de Kim Jong-un "llegó a robar más de 1.700 millones de dólares en criptomoneda".

El Departamento de Justicia de los Estados Unidos llegó a acusar a tres personas de formar parte de una trama de blanqueo de dinero asociada a estos robos. "Todo apunta a que el grupo asociado con estas actividades es 'BlueNoroff', también conocido como APT38, y sería el responsable de llevar a cabo acciones con motivación financiera dentro del Reconnaissance General Bureau (RGB). Es necesario destacar que Corea del Norte es uno de los pocos estados que ha sido identificado ejecutando operaciones ligadas al beneficio económico directo", destaca el documento del espionaje español.

"BlueNoroff" han llevado a cabo ataques de tipo spearphishing (engaños para divulgar información confidencial, para descargar malware o enviar autorizaciones de pago). Pero también han contactado de forma directa con las víctimas a través de LinkedIn, WhatsApp, Discord o Twitter, a semejanza del modus operandi de Lazarus. "Con el mismo objetivo se han identificado ataques de suplantación de cadena de suministro, identificando aplicaciones de criptomoneda (en este caso QT Bincoin Trader)", prosigue el dosier del Centro Criptológico.

Otro colectivo, denominado "APT47", ha emprendido una campaña contra los intereses de Corea del Sur, país en el que han llevado a cabo la monitorización de dispositivos para exfiltrar archivos, robar credenciales o realizar capturas de pantalla.

El actor "APT41" ha atacado el sector del videojuego de Corea del Sur y Taiwán; mientras que el grupo chino "APT10" ha centrado sus objetivos en medios de comunicación, organizaciones diplomáticas y gubernamentales, y el sector público japoneses.