(Ciber) GRU (III): julio 2018

Como hemos dicho, si hasta este año el GRU era uno de los servicios más opacos del mundo, en 2018 todo cambia. Tres hechos destacan en la cronografía, que concluyen con la muerte del Teniente General KOROBOV en noviembre; vamos a ver en este apartado el primero de ellos -y en los sucesivos los dos siguientes-, ocurrido en el mes de julio.

El trece de julio el Departamento de Justicia (DoJ) estadounidense publica [1], un documento de acusación contra doce agentes del GRU -citados directamente con nombre y apellidos- a los que relaciona con una posible injerencia rusa en las elecciones presidenciales de 2016. Quien firma el documento es nada más y nada menos que Robert Mueller, asesor del DoJ que coordina las investigaciones sobre este ámbito -el de la relación de Rusia con la selecciones presidenciales estadounidenses- y que, entre otras cosas, fue director del FBI durante más de diez años. Tras esta acusación, el FBI incluye entre sus “Cyber most wanted” a los doce agentes del servicio, resaltando que pueden ir armados y son peligrosos; hasta ese momento, el único servicio ruso que tenía el privilegio de contar con agentes entre los más buscados por el FBI era el FSB.

Cartel de búsqueda publicado por el FBI (julio 2018)

La inteligencia estadounidense había señalado públicamente a sus homólogos rusos de  injerencias en el proceso electoral de 2016 ([2]), incluso ligando al GRU a los ataques directos y  a la publicación de la información exfiltrada. No obstante, en el documento del DoJ se entra al detalle y se señala a dos unidades del GRU -la 26165 y la 74455- como responsables directas de las actividades en el ámbito ciber dirigidas a la interferencia en dichas elecciones, marcando a la unidad 26165 como la operativa directa (ataques contra actores relevantes, por ejemplo vía spear phishing, robo de documentos, etc.) y a la unidad 74455 como actor significativo en las operaciones de desinformación asociadas, como la diseminación de documentos o correos electrónicos o el manejo del sockpuppet Guccifer 2.0. Los acusados por el DoJ son doce oficiales de inteligencia rusos, nueve pertenecientes a la unidad 26165 y tres pertenecientes a la unidad 74455, según se resume en la siguiente tabla:


Unidad Nombre Empleo Cargo Aliases Acusaciones
26165 Viktor BORISOVICH NETYKSHO Coronel Jefe de Unidad Intrusión en DCCC y DNC
26165 Boris ALEKSEYEVICH ANTONOV Comandante Jefe de Departamento Intrusión
26165 Dmitriy SERGEYEVICH BADIN Ayudante Jefe de Departamento
26165 Ivan SERGEYEVICH YERMAKOV Kate S. Milton
James McMorgans
Karen W. Millen
26165 Aleksey VIKTOROVICH LUKASHEV Teniente Den Katenberg
Yuliana Martynova
26165 Sergey  ALEKSANDROVICH MORGACHEV Teniente Coronel Jefe de Departamento  Desarrollo de malware
26165 Nikolay YURYEVICH KOZACHEK Capitán Kazak
blablabla1234565
Desarrollo de malware
26165 Pavel VYACHESLAVOVICH YERSHOV Apoyo al desarrollo de malware
26165 Artem ANDREYEVICH MALYSHEV Teniente djangomagicdev
realblatr
Operación del malware
74455 Aleksandr VLADIMIROVICH OSADCHUK Coronel Jefe de Unidad Publicación de información robada
74455 Aleksey ALEKSANDROVICH POTEMKIN Jefe de Departamento  Gestión de infraestructura e identidades
74455 Anatoliy SERGEYEVICH KOVALEV


Se identifica con detalle al personal de la unidad 26165, localizada en el número 20 de Komsomolskiy Prospekt, y de la unidad 74455, localizada en el número 22 de la calle Kirova, en el barrio de Khimki, en ambos casos en Moscú; también se dan detalles de cada una de estas unidades: están mandadas por un Coronel, cuentan con diferentes departamentos con tareas específicas (desarrollo de malware, operación de los zombies…) El documento de acusación del DoJ describe también las TTP de los atacantes con un nivel de detalle asombroso, así como fechas de acciones tan concretas como el implante de X-Agent en una víctima o el nombre de la persona que ejecuta dicha acción, en el marco de en operaciones del GRU contra el DCCC (Democratic Congressional Campaign Committee, Comité de Campaña Demócrata del Congreso) y el DNC (Democratic National Committee, Comité Nacional Demócrata). Igualmente, analiza con el mismo nivel de detalle los esfuerzos del actor hostil para persistir en la víctima o el manejo de la información robada y su difusión a través del entramado DCLeaks (sockpuppet, sitio web, redes sociales…) y Guccifer 2.0., así como la relación entre ambos. 

Tal y como hemos dicho, en todo momento, tanto en el ámbito técnico de la intrusión y persistencia como en el ámbito menos técnico del uso de la información robada, el nivel de detalle proporcionado por el DoJ es impresionante; sin entrar en si este nivel es habitual en las acusaciones del DoJ relativas a Seguridad Nacional -no tengo criterio-, desde luego desde un punto de vista de inteligencia dar tanta información del conocimiento sobre un adversario ni es habitual ni es bueno… También se dan, especialmente en octubre como veremos más adelante, niveles de detalle no habituales en fuentes públicas sobre tácticas, técnicas, identidades… de los agentes del GRU y de sus operaciones; veremos, al final del trabajo, algunas preguntas que nos hacemos en relación al por qué de este nivel de detalle -y sus posibles respuestas-.

Referencias

[1] DoJ. Julio 2018. https://www.justice.gov/file/1080281/download 

[2] ODNI. Assessing Russian Activities and Intentions in Recent US Elections. Enero, 2017.

Ver también en: