Algunas reflexiones sobre Laundry Bear

28 de mayo de 2025 Por

Ayer, la inteligencia holandesa (AIVD and MIVD) y Microsoft publicaron dos informes destallando a un actor hostil ruso, potencialmente nuevo: Laundry Bear, o Void Blizzard. Este actor ha sido descubierto gracias a un compromiso reciente de la policía holandesa, pero sus actividades han estado también dirigidas a organizaciones occidentales desde, al menos, 2024, incluyendo fuerzas armadas, organizaciones gubernamentales y contratistas de defensa, entre otros. A pesar de que la inteligencia holandesa destaca que no se ha podido realizar la foto completa de este grupo y sus actividades, han publicado su informe para alertas a sus aliados (¡como debe ser!).

Laundry Bear no ejecuta operaciones de ataque, solamente de explotación. En otras palabras, ciber espionaje. Y ejecuta estas actividades de espionaje abusando de entornos de correo en la nube, en particular de servidores Microsoft Exchange, a través de cuentas comprometidas, sin elevar privilegios. Simplificando, Laundry Bear obtiene unas credenciales válidas, por ejemplo, del mercado negro, y las usa para robar correos electrónicos y algunos ficheros.

Los objetivos geográficos de Laundry Bear incluyen “Occidente”: la Unión Europea y la OTAN. Otras regiones en el punto de mira del actor son el lejano Oriente y Asia central, aunque parecen residuales. En los países de la Unión Europea y la OTAN, Laundry Bear se focaliza en sectores relevantes para los intereses rusos en Ucrania, en particular en el sector defensa: ministerios de Defensa, ministerios de Asuntos Exteriores, contratistas de defensa, etc. Laundry Bear está interesado en la producción militar y, según la inteligencia holandesa, parece tener cierto grado de conocimiento sobre la producción y suministro de productos militares y sus dependencias.

Más allá del ámbito militar, Laundry Bear también ha puesto en su punto de mira a organizaciones y negocios civiles, en particular del sector de la alta tecnología, que a su vez podrían estar relacionados con el ámbito gubernamental y el militar. El grupo también tiene como objetivos infraestructuras críticas, organizaciones no gubernamentales, partidos políticos, medios de comunicación y entornos sanitarios o educativos, entre otros, siempre con objetivos de espionaje.

Las operaciones de Laundry Bear son ágiles, muy probablemente gracias a cierto grado de automatización, organizado eficientemente y con un gran número de compromisos exitosos. Como cualquier actor hostil, para ejecutar estas operaciones Laundry Bear desarrolla un conjunto de tácticas y técnicas. Las técnicas asociadas son simples. Laundry Bear no usa malware personalizado, y por supuesto tampoco explota vulnerabilidades de día cero. El actor usa técnicas Living-off-the-Land, incluyendo password spraying (aprovechando credenciales robadas que han sido publicadas tras fugas de datos). Una vez que ha obtenido acceso, Laundry Bear descarga información sin elevar privilegios, incluyendo la Global Address List (GAL) de Microsoft Exchange. La GAL permite al actor moverse lateralmente obteniendo acceso a otras cuentas del servidor, de nuevo a través de password spraying. Adicionalmente al robo de correos electrónicos, Laundry bear puede explotar vulnerabilidades conocidas de servidores Sharepoint para robar información.

La inteligencia holandesa afirma que los vectores de ataque utilizados por Laundry Bear, con técnicas no especialmente complejas, dificultan la atribución. Han identificado ciertas similitudes entre las operaciones de Laundry Bear y el modus operandi de APT28. Sin embargo, concluyen que Laundry Bear y APT28 son dos actores diferentes. Por su parte, Microsoft relaciona los objetivos de Laundry Bear con los de APT28 y con los de Sandworm Team.

A partir de la información publicada por la inteligencia holandesa y por Microsoft, y estando de acuerdo en que las técnicas simples usadas por Laundry Bear dificultan su atribución, podemos afirmar que:

  • Casi con total certeza, Laundry Bear es un actor hostil ligado al gobierno ruso. Los sectores y países objetivo están alineados con los intereses rusos, de nuevo con un foco en Ucrania. Además, el encontrar ONG entre los objetivos del grupo es compatible con actores hostiles estratégicamente motivados, particularmente con actores estado.
  • Probablemente, Laundry Bear está asociado al GRU ruso. Su interés especial en el ámbito militar, y su conocimiento acerca de este mercado, incrementan la probabilidad de que este actor esté ligado a la inteligencia militar. Sin embargo, otros actores rusos no ligados al GRU también tienen entre sus objetivos al ámbito militar, como Turla o Gamaredon (FSB) o APT29 (SVR).
  • La probabilidad de que Laundry Bear sea un nuevo actor hostil es media. Las técnicas simples usadas por Laundry Bear son comúnmente usadas por otros actores, incluyendo avanzados. A partir de la información publicada, no se puede afirmar con un grado de certeza elevado que nos estemos enfrentando a un nuevo actor hostil.

En resumen, Laundry Bear (o Void Blizzard) es un actor hostil ruso, probablemente ligado al GRU, pero no está claro si es un nuevo grupo o está asociado a las unidades “ciber” de la inteligencia rusa (en particular, a las unidades 26165, 74455 o 29155 del GRU). Estamos seguros de que pronto la inteligencia holandesa, o Microsoft, publicarán nueva inteligencia sobre este actor hostil.

La CCI rusa (XVI): objetivos. Países

21 de junio de 2017 Por

Cualquier país del mundo es un objetivo potencial del espionaje ruso —o no ruso—. A modo de ejemplo, la infiltración en América ha sido históricamente alta, no solo en Estados Unidos, país de prioridad máxima para la inteligencia rusa, sino también en toda América Latina.

No obstante, el mantenimiento de un gran ecosistema de inteligencia no es barato —aunque seguro que gracias a las particularidades y relaciones de los servicios rusos, no es tan caro como lo sería en otras circunstancias—, por lo que como sucede en cualquier país los rusos deben priorizar sus actividades e intereses habituales, dejando para ocasiones especiales aquellos objetivos temporales: por ejemplo, Oriente Medio y Oriente Próximo (Siria, Irán…) pueden considerarse en la lista de estos objetivos temporales, por motivos tanto de seguridad —contraterrorismo— como económicos —clientes o proveedores de bienes básicos para Rusia—.

Adicionalmente a éstos, países como Australia o Nueva Zelanda, desarrollados tecnológicamente y cercanos a Occidente —no desde el punto de vista físico, por supuesto— son también objetivo de Rusia por diferentes motivos, como el espionaje industrial. Resaltamos en gris los países objetivo del espionaje ruso:

[Read more…]

La CCI rusa (XV): objetivos. Necesidades de información

9 de junio de 2017 Por

Recapitulemos: hasta el momento llevamos varias entradas relativas a la CCI rusa, en las que hemos contextualizado a la inteligencia rusa, hemos descrito sus diferentes servicios con atribuciones ciber y hemos analizado, en la medida de lo posible, sus relaciones con terceros, describiendo así el complejo ecosistema de inteligencia en Rusia. Con este ecosistema ya descrito (en algún momento había que parar), vamos a tratar ahora de analizar los objetivos de esta inteligencia, sus necesidades de información: ¿qué busca -y dónde- Rusia?

Un poco de historia: Vasili Mitrokhin fue un archivista del KGB que, tras la disolución de la URSS, desertó y colaboró con el MI6 británico; el material exfiltrado por Mitrokhin, que dio lugar a varios libros que se conocen en su conjunto como “el archivo Mitrokhin”, desvelaba entre otros muchos secretos que el líder soviético Mikhail Gorbachev ya consideraba el espionaje industrial como un aspecto clave para la supervivencia económica y para la reestructuración del país. Esto se puso de manifiesto tras la disolución de la URSS, tanto que de conformidad con su base jurídica ([3]), el objetivo de la inteligencia rusa ha sido recabar información en los ámbitos político, económico, militar, científico, técnico y ecológico para apoyar el desarrollo económico y el progreso científico-técnico y militar de la Federación Rusa; incluso el GRU tiene encomendada la adquisición de información militar, político-militar, tecnológica-militar y económica-militar. En otras palabras, a Rusia le preocupa su defensa, tanto militar como económica, desde la era soviética (a partir de la información de Mitrokhin) hasta la Rusia de final del siglo pasado. Algo, por otra parte, completamente lógico en cualquier país moderno.

Pero no es necesario remontarse ni al archivo Mitrokhin ni a la legislación que regula la inteligencia rusa para identificar las necesidades de información rusas; revisando algo más reciente, la Estrategia de Seguridad Nacional ([1]) y algunos de sus análisis (como [2]), se puede inferir que, como hemos dicho, la seguridad nacional rusa ya no se basa únicamente en las amenazas militares o políticas a la Madre Rusia -que también- sino que se habla de términos como seguridad económica o seguridad a través del desarrollo del país. En esta Estrategia de Seguridad Nacional se definen claramente las prioridades e intereses rusos:

  • Defensa nacional, que aparece en primer lugar como la prioridad básica de la Estrategia, y que hace la obligada referencia a la OTAN, a la protección de las fronteras rusas, a la estabilidad en la zona que rodea geográficamente a Rusia…
  • Seguridad pública, basada protección del sistema y la soberanía rusos -y de sus ciudadanos-; ya hablamos del modo “Guerra Fría” y del “Rusia está en peligro”, no sólo físico sino también espiritual…
  • Mejora de la calidad de vida de los ciudadanos rusos, mediante la garantía de servicios y suministros básicos: agricultura, biotecnología, farmacia, infraestructuras críticas…
  • Crecimiento económico, mediante el desarrollo de tecnología y modernización de sectores clave para la economía, como el financiero o el energético, con una mención especial a las nuevas tecnologías.
  • Ciencia, tecnología y educación, proporcionando ventajas competitivas a la economía y defensa rusas mediante una estrecha colaboración público-privada; la Estrategia plasma una especial preocupación por la dependencia tecnológica de terceros países y por la transferencia del conocimiento ruso al extranjero.
  • Salud, proporcionando a los ciudadanos rusos un sistema de salud moderno con una importante componente técnica y tecnológica: informática y comunicaciones, farmacia, biotecnología, nanotecnología…
  • Cultura rusa, protegiendo la unión de todos los territorios rusos y de sus ciudadanos -diferentes etnias, culturas, problemáticas, demografía…-, en especial frente a terceros que quieran romper o corromper los valores rusos.
  • Ecología y recursos naturales, evitando el agotamiento de los recursos naturales rusos, como el mineral… o el agua.
  • Estabilidad estratégica y colaboraciones equitativas con terceros, manteniendo a Rusia como un actor clave dentro del panorama internacional -político, militar, diplomático…-.

Para asegurar estos elementos prioritarios, Rusia debe focalizar sus necesidades de información en diferentes ámbitos que pueden extraerse de la propia estrategia: defensa, seguridad interior, tecnología, energía, política, diplomacia, energía, economía, ecología… En resumen, las necesidades de información rusas han cambiado poco desde 1996 -algo que, por otra parte, es perfectamente normal-, y la ley firmada por Yeltsin a la que ya hemos hecho referencia ([3]) las dejaba claras: política, economía, defensa, ciencia, tecnología y ecología son las prioridades de la inteligencia rusa, que podemos agrupar en dos grandes frentes: la protección económica de Rusia en el sentido amplio de la palabra (incluyendo robo de información científica o técnica para proporcionar una ventaja competitiva a Rusia) y la defensa del país también en el sentido más amplio (desde el ámbito militar hasta el político… o el cultural). Por supuesto, no se trata de dos frentes inconexos, sino que se relacionan entre sí para tratar de proteger al país en el panorama internacional: el progreso técnico también se aplica al ámbito militar, por poner un ejemplo. El objetivo: garantizar su progreso y posición internacional, salvaguardando a la Madre Rusia de cualquier amenaza. ¿Recordamos aquello del modo Guerra Fría?

Empecemos por el final: la ecología. El interés ruso por el medio ambiente es histórico: Rusia tiene un Ministerio denominado “de Recursos Naturales y Medio Ambiente” o una Agencia Federal para la supervisión de asuntos ecológicos, tecnológicos y nucleares (Rostekhnadzor); además, justo este año 2017 ha sido declarado por Putin como año de la ecología. Pero, ¿por qué tanto interés ecológico? ¿Por qué el Kremlin mantiene la ecología como uno de sus intereses prioritarios? Si nos fijamos en los nombres y atribuciones del Ministerio y la Agencia Federal que hemos comentado podemos intuir una explicación: cuando se habla de ecología no debemos entenderla en el sentido del respeto al medio ambiente, sino como la protección de los recursos naturales rusos y la superioridad que dichos recursos proporcionan al país; dicho de otra forma: “ecología” en ruso significa, más o menos, “energía”. Ya dijimos al principio de esta serie de posts que Rusia posee las mayores reservas de recursos energéticos y minerales del mundo todavía sin explotar, por lo que es considerada la mayor superpotencia energética, así como también la mayor reserva mundial de recursos forestales, y dispone además de la cuarta parte de agua no congelada del mundo. Obviamente Rusia sabe que esto le proporciona una posición ventajosa frente a otros países, usa esta ventaja y por supuesto la protege; por tanto, cuando se habla de ecología se habla de energía, y de hecho Rusia en más de una ocasión ha utilizado sus reservas energéticas para obtener influencia mundial o, al menos sobre otros países de los que Rusia es proveedor (recordemos la novena prioridad de las expuestas anteriormente: mantenimiento de Rusia como un actor clave en el panorama internacional). Curiosamente, algunas APT tan dirigidas a objetivos energéticos como Sandworm o Energetic Bear están atribuidas a Rusia, bien o mal. Sólo curiosamente.

En relación al ámbito científico y técnico, en [7] se puede obtener una excelente visión de las actividades de inteligencia rusas en estas áreas. Rusia mantiene una actividad comparable, según todas las hipótesis o incluso las declaraciones de altos cargos de la ODNI estadounidense o del MI5 británico, a la de la antigua Unión Soviética e identifica claramente sectores clave para su desarrollo ([1]): energía -de la que ya hemos hablado-, tecnologías de la información, telecomunicaciones, biomedicina, farmacia, tecnología nuclear, nanotecnología… Y para lograr este desarrollo la inteligencia de señales, de todas las señales, juega un rol muy interesante para los servicios rusos, quizás por encima de la inteligencia de fuentes humanas, aunque también es cierto que diferentes países han expulsado a científicos de sus universidades, empresas y centros de investigación por descubrir robos de información presuntamente vinculados a los servicios rusos, desde Suecia (Ericsson, 2002) hasta Holanda (Universidad de Tecnología de Eindhoven, 2014). Ya en inteligencia de señales, estas necesidades de información pueden convertir en objetivos de la inteligencia rusa a empresas, universidades, centros de investigación… sin importar su tamaño -una APT es más barata que las fuentes humanas- que trabajen en tecnología puntera, I+D+i, diseños, patentes… de los campos citados con anterioridad. Aunque quizás siempre pensemos que el actor más activo en estos ámbitos es China, recordemos a Jeffrey Carr: “The threat from China is over-inflated, while the threat from Russia is underestimated”.

Como hemos dicho, el FSB o el resto de servicios buscan hacer cada vez más competitiva a Rusia en el panorama internacional ([6]), y obtener esa posición relevante y apoyar el progreso de la nación no se basan exclusivamente en ciencia y tecnología, que también, sino que se extienden a la adquisición de información que proporcione una ventaja económica directa; en este ámbito, en el económico, algunos analistas ([5]) identifican una guerra abierta entre el SVR y el GRU, guerra a la que tampoco es ajeno el FSB: ya hemos hablado en anteriores posts de la serie de las acusaciones del DoJ estadounidense contra agentes del FSB en relación al ataque a Yahoo, a los que acusa, entre otras cosas, de espionaje económico. Como cualquier actor del mundo (cualquiera), Rusia aprovecha sus capacidades y actividades de inteligencia para obtener un beneficio económico para el país y para catalizar el desarrollo tecnológico nacional; recordemos la base jurídica a la que hemos hecho referencia, que encomienda a la inteligencia apoyar el desarrollo económico y el progreso científico-técnico y militar del país. Este apoyo puede implicar desde robo de información por parte de una APT hasta compromisos más severos, por ejemplo para reforzar la posición de empresas nacionales en concursos frente a empresas de terceros países.

En cualquier caso, la principal prioridad rusa parece seguir siendo la defensa. Militarmente, Rusia tiene claras sus necesidades, y éstas pasan por el interés en la información de sus vecinos y en el ámbito OTAN; y en especial, de sus vecinos cercanos al ámbito OTAN, como son las ex Repúblicas Soviéticas más cercanas a la influencia de la Alianza. Rusia considera “inaceptable” el acercamiento de la OTAN a sus fronteras, que ve como una amenaza a la integridad de la Madre Rusia (de nuevo, recordemos todo aquello del modo Guerra Fría); de esta manera, la inteligencia rusa puede tener interés, hipotéticamente, en tratar de debilitar a “Occidente” (el ámbito OTAN, dicho de otra forma): una OTAN fuerte es un peligro para los rusos, al menos bajo su punto de vista. Curiosamente, como siempre, APT28 tiene entre sus objetivos a organizaciones como OTAN u OSCE, empresas europeas que trabajan para defensa y países del este de Europa, entre otros.

También relativo a la defensa, aunque quizás más cercano a la seguridad interior (o a la “seguridad pública” según la estrategia), Rusia está preocupada por el terrorismo cerca o incluso dentro de sus fronteras; el golpe sufrido por el país en el teatro Dubrovka de Moscú en octubre de 2002 hizo ver a Rusia su exposición al terrorismo en el mismo corazón del país -no hablaremos de los atentados en apartamentos (1999) y su análisis-. Adicionalmente, Rusia ha sufrido terribles ataques indiscriminados de grupos islamistas, algunos cercanos -en otros no tanto- al independentismo de determinadas repúblicas rusas; recordemos el derribo del avión de Metrojet o, ya este mismo año, los ataques en el metro de San Petersburgo. Su controvertido rol en conflictos como el sirio han puesto al país en el punto de mira de diferentes grupos, con lo que las necesidades de información en este sentido están más que justificadas. De hecho, según algunos analistas ([8]) APT28 está muy interesada en Siria desde el inicio del conflicto, algo de nuevo compatible con las supuestas necesidades de información del gobierno ruso.

Por último, en el ámbito político y diplomático, como en el de defensa, Rusia tiene un especial interés en lo que denominan “Occidente”; algunos servicios europeos, como el AIVD holandés ([4]), han alertado públicamente del interés ruso en la desestabilización de la Unión Europea -y por extensión de la OTAN- a través de una estrategia de “divide y vencerás” en la que a través de diferentes vías, una de ellas la del suministro energético, Moscú trata de atraer a estados miembros a su órbita; por este motivo, parece lógico que un interés muy relevante en cuanto a necesidades de información para la inteligencia rusa sea conocer cómo influenciar, directa o indirectamente, en las grandes decisiones de terceros países, por supuesto para aprovechar esa influencia en beneficio propio: imaginemos desde una posible operación de bandera falsa en medios de comunicación (o no) hasta una intervención de elecciones en algún país (siempre hipotéticamente, por supuesto) que debilite un poco a la OTAN. O recordemos a The Dukes y algunos de sus objetivos, Ministerios de Asuntos Exteriores de países de Europa del Este, o a APT29 y su interés en la política europea y estadounidense. Profundizaremos, en el próximo post de la serie, en los países en los que Rusia puede tener un mayor interés.

En resumen, dos grandes objetivos y por tanto dos grandes familias de necesidades de información: por un lado la protección de Rusia desde una perspectiva de defensa de la nación (militar, política, diplomática…) y por otro la protección económica de Rusia (ecología, economía, tecnología…), estando ambos frentes relacionados en muchos casos. La Madre Rusia debe seguir siendo una potencia mundial en todos los sentidos, algo por supuesto completamente legítimo y habitual para unos servicios de inteligencia.

Referencias
[1] President of the Russian Federation. Strategy for the national security of the Russian Federation up to 2020. Mayo, 2009.
[2] Keir Giles. Russia’s National Security Strategy to 2020. NATO Defense College Research Division. Junio, 2009.
[3] President of the Russian Federation. On Foreign Intelligence. Russian Federation Federal Law no. 5. Enero, 1996.
[4] General Intelligence and Security Service. Annual Report 2014. AIVD. Abril, 2015.
[5] Mark Galeotti. Putin’s Hydra: Inside Russia’s Intelligence Services. European Council on Foreing Relations. Mayo, 2016.
[6] Jared S. Easton. The Industrial Spy Game: FSB as Russian Economic Developer. Modern Diplomacy. Agosto, 2015.
[7] Fredrik Westerlund. Russian Intelligence Gathering for Domestic R&D – Short Cut or Dead End for Modernisation? Swedish Defence Research Agency (FOI). Abril, 2010.
[8] FireEye. APT28: at the center of the storm. FireEye. Enero, 2017.

La CCI rusa (XIV): el ecosistema de inteligencia. Cibercrimen

2 de mayo de 2017 Por

Las relaciones del Kremlin (por extensión, de sus servicios de inteligencia) con el crimen organizado “clásico”, con las mafias rusas, es un hecho más o menos probado; sin ir más lejos, en documentos filtrados por WikiLeaks el fiscal español José Grinda vincula directamente a la mafia rusa con los servicios de inteligencia del país.

Pero más allá de estas filtraciones de WikiLeaks y su grado de fiabilidad, en informes públicos -en este caso, del mismo fiscal- se ha puesto de manifiesto dicha relación de manera oficial y abierta ([1]), diciendo textualmente “[…] parte del FSB, que ha implantado un régimen de crimen organizado en determinadas esferas del poder ruso a través del cada vez mayor control del crimen organizado, tesis que ya fuera sostenida por el fallecido Litvinenko“; dicho de otra forma, se asumen las tesis de Alexander Litvinenko relativas a que los servicios rusos controlan por completo a los grupos mafiosos del país, obteniendo un beneficio mutuo de esta relación.

Recordemos, que Litvinenko, antiguo agente del KGB y del FSB, fue asesinado con Polonio 210 tras sus duras críticas al FSB y a sus actividades al margen de toda legislación, asesinato por el cual Reino Unido intentó extraditar al ex oficial del FSO Andrey Lugovoy, que casualmente disfruta de inmunidad en Rusia por ser miembro de la Duma; de la historia de Litvinenko, y de su especial colaboración con los servicios y la Justicia españoles, se puede obtener una excelente visión en [2].

Es de esperar que las relaciones de los servicios rusos con el crimen organizado, de las que ya dimos pinceladas de su origen en el post de esta serie relativo al ecosistema de inteligencia, se extiendan al ámbito tecnológico, a lo que denominamos cibercrimen -o cibercrimen organizado-; siempre de manera hipotética, por supuesto… De hecho, oficialmente es todo lo contrario: el FSB, dentro de sus atribuciones policiales tiene encomendadas actividades contra el cibercrimen, según algunos analistas incluso reemplazando con su 16a Dirección, de la que ya hemos hablado en posts anteriores, a la famosa Dirección K del Ministerio del Interior ruso ([6]), que oficialmente investiga el ciberdelito y las actividades ilegales relacionadas con tecnologías en Rusia; recordemos además que esta Dirección del FSB dispone de capacidades CNA, que quizás puedan ser activadas contra grupos de cibercriminales siempre que sea interesante para la Madre Rusia… en cualquier caso, al menos sobre el papel las dos Direcciones de ambos organismos se complementan a la perfección en sus actividades contra la delincuencia tecnológica ([3]).

Un hecho cierto es que el gobierno ruso, tanto a través del FSB como de la Dirección K de su Ministerio del Interior, ha dado pasos para combatir las actividades delictivas en Internet, aunque también es cierto que dichos esfuerzos se han focalizado más en combatir tales actividades cuando han impactado contra intereses rusos que, cuando con origen en Rusia, han impactado contra intereses extranjeros.

A modo de ejemplo, en [10] se analizan algunas de las notas de prensa publicadas en 2016 por el FSB en este sentido: en total, tres notas para informar de:

  • La detención de un grupo organizado, ruso, que había robado varios millones de euros a bancos rusos (junio).
  • El descubrimiento de un código dañino (sin especificar origen) que había comprometido diferentes organizaciones gubernamentales, militares, de investigación… rusas (julio).
  • El aviso al gobierno y la ciudadanía rusos relativo a ciberataques masivos contra sus infraestructuras, provenientes de servicios extranjeros, ataque que finalmente no se produjo o fue perfectamente mitigado por las capacidades rusas (diciembre).

Como vemos, las principales acciones han sido orientadas a proteger a Rusia y sus intereses (cosa obvia, dicho sea de paso) más que a colaborar con terceros para mitigar problemas originados en Rusia, aunque también -ya sin nota de prensa oficial- es público que en noviembre del pasado año el FSB detuvo al grupo detrás del malware bancario Dyre, de origen ruso pero con víctimas de casi todo el mundo… menos de Rusia.

La última de las actividades más notorias del Servicio durante el año pasado, también sin nota de prensa asociada, fue la detención, en diciembre, de Sergey Mikhaylov y Ruslan Stoyanov, ambos relacionados de una u otra forma, pasada o presente, con unidades gubernamentales especializadas en la lucha contra el cibercrimen, aunque dicha detención no parece relacionada con dicha lucha: la acusación oficial habla, sencillamente, de “traición”, lo que puede interpretarse de muchas formas (incluso ya se apunta a su colaboración con la CIA o el FBI), no todas positivas de cara a demostrar el interés de las autoridades rusas para combatir el delito en la RuNET.

Históricamente, Rusia ha sido cuna de unas capacidades técnicas muy elevadas, capacidades que pueden usarse para bien o para mal; ya hablamos en un post anterior del establecimiento de relaciones de los servicios rusos con su ecosistema de inteligencia y de la situación vivida a finales del pasado siglo. Extrapolando esta situación al ámbito ciber es fácil comprender cómo las capacidades técnicas rusas pueden orientarse con facilidad hacia negocios no legales, a lo que denominamos ciberdelito o cibercrimen: desde spam o phishing hasta pornografía infantil, pasando por falsificación y venta de documentos oficiales; un repaso general al cibercrimen ruso puede ser el reflejado en [11].

Y en cuanto a la relación entre inteligencia y crimen organizado en este ámbito ciber, ya a finales del siglo pasado, en la operación Moonlight Maze, se hablaba de posibles relaciones entre el FSB y cibercriminales para dar cobertura a ciertas actividades en las que los servicios no deben verse envueltos de manera directa.

Si queremos hablar del cibercrimen ruso es obligatorio hacer referencia a la RBN (Russian Business Network), analizada a la perfección en [4], quizás el estudio más completo sobre la misma, donde se define la RBN como “una infraestructura completa para la provisión de servicios dañinos”, indicando además que “no hay ni un solo cliente legítimo en la RBN”; sobran los comentarios. En definitiva, un proveedor de soluciones para la delincuencia, ajustadas a las necesidades de sus clientes… y desaparecido (o no) en noviembre de 2007; en el capítulo 8 de [3] se resume la curiosa historia de esta “desaparición”, en opinión de muchos una simple reestructuración de la RBN para hacer menos visibles sus actividades. Algunos de los principales operadores de la RBN han tenido estrechas relaciones con los servicios rusos: es público que al menos uno de ellos, Alexandr Boykov, fue Teniente Coronel del servicio ([5]).

Adicionalmente, algunos analistas defienden la relación simbiótica entre la RBN, los hackers patrióticos y el gobierno o los servicios rusos ([8], [9], trabajos ya referenciados en posts anteriores de esta serie); dicha relación se basa en la permisividad de los primeros en relación a las actividades delictivas siempre que se ejecuten fuera de Rusia a cambio del apoyo de los segundos cuando una situación lo requiera: Georgia, Estonia… Dicho de otra forma: te dejamos trabajar pero no molestes a nuestros compatriotas; y si te necesitamos, nos tienes que echar una mano. Recordemos: nadie dice no al FSB. De hecho, algunos analistas defienden la hipótesis de que el FSB puede conmutar penas de prisión a cambio de colaboración activa; hablando en plata, ofrece a imputados por cibercrimen libertad a cambio de trabajos “especiales” (aunque también es cierto que esto se ha dicho, popularmente, de otros muchos servicios).

El último ejemplo que ha salido a la luz y pone de manifiesto la relación estrecha -potencial, potencial…- entre el cibercrimen y la inteligencia rusa es quizás el del hackeo de Yahoo en 2014, que según el Departamento de Justicia estadounidense se atribuye a la colaboración directa del FSB con actores individuales asociados al cibercrimen (la nota de prensa del DoJ, [7], se ha publicado en marzo de 2017); acusación oficial de relaciones entre servicios rusos y grupos de crimen organizado, proveniente nada más y nada menos que del gobierno estadounidense (con dos supuestos agentes del FSB citados con foto, nombre y apellidos, Dmitry Aleksandrovich Dokuchaev e Igor Anatolyevich Sushchin, entre los más buscados del ámbito ciber por el FBI), y como siempre con la correspondiente negación oficial del gobierno ruso.

También el FBI acusa a Evgeniy Bogachev, el ciberdelincuente más buscado y por el que se ofrece una recompensa de tres millones de dólares, no sólo de actividades asociadas a delincuencia económica (es el creador de Gameover Zeus y Cryptolocker), sino también por la posible interferencia -operado por el FSB- en el proceso electoral estadounidense. ¿Otra prueba de esta relación potencial? ¿Información negativa proporcionada por el gobierno estadounidense? Quién sabe… en definitiva, intuimos, aunque no podemos asegurar, que existe una relación directa entre el cibercrimen y los servicios de inteligencia en Rusia, como parece existir la relación entre dichos servicios y el crimen organizado clásico. Posiblemente sí, o posiblemente no, como casi siempre en esta guerra…

Referencias
[1] José Grinda González. Regulación nacional e internacional del crimen organizado. Experiencia de la Fiscalía Anticorrupción. Fiscalía General del Estado. España. Septiembre, 2015.
[2] Cruz Morcillo, Pablo Muñoz. Palabra de Vor. Espasa, 2010.
[3] Jeffrey Carr. Inside Cyber Warfare: Mapping the Cyber Underworld. O’Reilly, 2011.
[4] David Bizeul. Russian Business Network Study. Noviembre, 2007. http://fatalsystemerrorbook.net/pdf/Bizuel_onRBN.pdf
[5] Casimir C. Carey III. NATO’s Options for Defensive Cyber Against Non-State Actors. United States Army War College. Abril, 2013.
[6] Timothy Thomas. Russia’s Information Warfare Strategy: Can the Nation Cope in Future Conflicts?. The Journal of Slavic Military Studies. Volume 27, Issue 1. 2014.
[7] US DoJ. U.S. Charges Russian FSB Officers and Their Criminal Conspirators for Hacking Yahoo and Millions of Email Accounts. https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millions. Marzo, 2017.
[8] Viktor Nagy. The geostrategic struggle in cyberspace between the United States, China, and Russia. AARMS. Vol. 11, No. 1 (2012) 13–26.
[9] Jeffrey Carr. Project Grey Goose Phase II Report: The evolving state of cyber warfare. Greylogic, 2009.
[10] Filip Kovacevic. Security Threats to Russia: The Analysis of the 2016 FSB Press Releases (Part 3 – Hacking & Other Challenges). https://www.newsbud.com/2017/01/12/security-threats-to-russia-the-analysis-of-the-2016-fsb-press-releases-part-3-hacking-other-challenges/. Enero, 2017.
[11] Brian Krebbs. Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door. Sourcebooks, 2014.

La CCI rusa (XIII): el ecosistema de inteligencia. Patriotic hackers

23 de marzo de 2017 Por

El concepto de hacker patriótico puede entenderse como el atacante, en el ámbito ciber, cuyas actividades apoyan de una u otra forma a su país en un conflicto real, dirigidas contra el enemigo del estado ([1]). Junto a China, Rusia ha sido quizás uno de los países que más ha potenciado a estos colectivos, activos desde hace años en conflictos como el de Kosovo (1999), Estonia (2007) o Georgia (2008); en España, si ha existido algo similar alguna vez y en cualquier caso no state sponsored, podría ligarse a pequeñas acciones en la red contra el entorno etarra tras el asesinato de Miguel Ángel Blanco (1997), quizás a caballo entre el hacktivismo y los patriotic hacker (esto daría para un interesante debate), pero en cualquier caso muy alejado de las actividades de grupos patrióticos en otros conflictos o países.

En Rusia han sido identificados diferentes grupos que podríamos denominar afines al Kremlin (desde Chaos Hackers Crew, en 1999, hasta Cyber Berkut, activo en el conflicto con Ucrania) y a sus acciones, grupos que han focalizado sus actividades en defacements y, en especial, en ataques DDoS contra objetivos que han sido considerados contrarios a los intereses rusos. De cada una de las operaciones de estos grupos hay literatura y más literatura; un excelente resumen de las más notorias puede encontrarse en [8]. Ya en 1994, en la Primera Guerra Chechena, algunos grupos patrióticos usaron la entonces incipiente web para actividades de propaganda y operaciones psicológicas (PSYOP), en ese momento con victoria chechena, victoria que cambiaría de bando tiempo después (1999) en la Segunda Guerra Chechena ([3]). Años más tarde, en 2007, Rusia lanza una ofensiva ciber contra Estonia que detiene la operación de la banca online de los principales bancos estonios, bloquea el acceso a medios de comunicación e interrumpe comunicaciones de los servicios de emergencia ([4]); pero no hay muertos ni heridos en ninguno de los bandos, a diferencia de lo que sucede poco más tarde (2008) en Georgia, donde se produce una ofensiva híbrida -el primer caso conocido en la historia- compuesta por ciberataques y una invasión armada, conflicto en el que surgen diferentes grupos que animan a atacar -en especial, mediante DDoS a los sitios web que apoyan al bando contrario. Estos ataques de denegación era diferentes de los lanzados contra Estonia: no sólo se basaban en la inyección de grandes volúmenes de tráfico o peticiones contra el objetivo, sino que además empleaban técnicas más sofisticadas, como el uso de determinadas instrucciones SQL para introducir carga adicional en dicho objetivo, amplificando así el impacto causado.

Más o menos a la par que a Georgia le llega el turno a Lituania, también en 2008 y, como en Estonia, en respuesta a decisiones políticas que no gustan a sus vecinos rusos; en este caso el gobierno lituano decide retirar los símbolos comunistas asociados a la antigua URSS, lo que provoca ataques de denegación de servicio y defacements de páginas web para ubicar en ellas la hoz y el martillo. Unos meses después de las acciones en Lituania, comienzan ataques contra Kyrgyzstan, ya en 2009 y de nuevo tras decisiones políticas que no gustan a los rusos, ahora relativas al uso de una base aérea del país por parte de los estadounidenses, clave para el despliegue americano en Afganistán. En este caso se trata de ataques DDoS contra los principales ISP del país, que degradaron más todavía las ya precarias infraestructuras kirguisas, con origen en direccionamientos rusos pero, según algunos expertos, con muchas más dudas en la atribución que otros ataques del mismo tipo sufridos anteriormente por otros países. También en 2009 Kazakhstan, otra ex República Soviética -y por tanto de interés prioritario para la inteligencia rusa- sufre ataques DDoS tras unas declaraciones de su Presidente en las que criticaba a Rusia.

Por último, ya en 2014, Ucrania se convierte en otro ejemplo de guerra híbrida, tal y como sucedió en Georgia años atrás, y en una excelente muestra del concepto ruso de guerra de información, con ataques no solo DDos sino, en especial, de desinformación a través de redes sociales: VKontakte, supuestamente bajo control de los servicios rusos (ya hablamos de la relación de estos con empresas, tecnológicas o no), es la red social más usada en Ucrania, lo que ofrece una oportunidad inmejorable para poner en práctica esa desinformación ([6]). Por diferentes motivos, entre ellos la propia duración del conflicto, Ucrania es un excelente ejemplo del rol de los hackers patrióticos por parte de ambos bandos (Cyber Berkut por el lado ruso y RUH8 por el ucraniano), apoyando intervenciones militares tradicionales, poniendo en práctica guerra de información, operaciones psicológicas, DDoS, ataques a infraestructuras críticas…

La presencia y operaciones de los patriotic hackers rusos parece indiscutible; la duda es conocer la relación de estos grupos y sus acciones con el Kremlin y con sus servicios, si existe, y el grado de control que pueda tener el gobierno ruso sobre los mismos… e incluso su relación con otros actores de interés para la inteligencia rusa, como el crimen organizado, del que hablaremos en el próximo post de la serie. Acciones como las ejecutadas contra servidores ucranianos en 2014 por parte de Cyber Berkut mostraron unas TTP muy similares a las empleadas con anterioridad en Estonia o Georgia, lo que vincularía estas acciones no solo a grupos correctamente organizados, sino también induciría a pensar una posible vinculación con el Kremlin, a raíz de la hipotética atribución de estas últimas acciones con el gobierno ruso ([2]). En [9] se realiza un interesante análisis de la relación entre los hackers patrióticos, el cibercrimen y los servicios de inteligencia rusos durante el conflicto armado con Georgia, en 2008; adicionalmente, también en las tensas relaciones entre Rusia y Georgia se genera otra hipotética prueba, al menos especialmente curiosa, de la vinculación entre ataques, hackers patrióticos y servicios rusos: en 2011 el CERT gubernamental georgiano ([7]), ante un caso de ciberespionaje supuestamente ruso, decide comprometer voluntariamente un equipo con el malware usado por los atacantes, poner un fichero señuelo en el mismo y a su vez troyanizar dicho archivo con un software de control remoto. Cuando el atacante exfiltró el honeypot, el CERT pudo tomar el control de su equipo, grabando vídeos de sus actividades, realizando capturas a partir de su webcam y analizando su disco duro, en el que se encontraron correos electrónicos supuestamente entre un controlador -dicen las malas lenguas de algunos analistas que del FSB, quién sabe…- y el atacante, intercambiando información de objetivos y necesidades de información e instrucciones de cómo usar el código dañino

Con independencia de las relaciones de los servicios rusos con grupos de hackers patrióticos, la infiltración o el grado de control sobre los mismos, lo que sí es cierto es que en determinados casos el FSB ha evitado, de forma pública, ejercer sus funciones policiales para perseguir actividades a priori delictivas de los hackers patrióticos rusos: en 2002, estudiantes de Tomsk lanzaron un ataque de denegación de servicio contra el portal Kavkaz-Tsentr, que hospedaba información sobre Chechenia molesta para los rusos; la oficina local del FSB publicó una nota de prensa en la que se refería a estas acciones de los atacantes como una legítima “expresión de su posición como ciudadanos, digna de respeto” ([5]). Y lo que sí es indiscutible es que tras decisiones de un gobierno soberano que pueden ser contrarias a los intereses del gobierno ruso o simplemente a su opinión, dicho gobierno sufre ataques más o menos severos -en función de la importancia de dicha decisión- contra sus infraestructuras tecnológicas, al menos en zonas especialmente relevantes para la inteligencia y el gobierno rusos como son las ex Repúblicas Soviéticas; por supuesto, ataques que es difícil ligar de manera fehaciente al gobierno ruso o a hackers patrióticos de este país, pero que se producen en cualquier caso.

Para acabar, un detalle: los hackers patrióticos rusos no solo han ejecutado acciones contra terceros países, sino que también han operado dentro de la RUNet; uno de los casos más conocidos es el de Hell, actuando contra movimientos liberales rusos: opositores al gobierno, periodistas, bloggers… y del que (o de los que) han circulado indicios de su vinculación con el FSB (recordemos, inteligencia interior), en concreto con el CIS de este servicio. En 2015 se juzga y condena en Alemania a Sergei Maksimov, supuestamente Hell, por falsificación, acoso y robo de información; aunque se enfrenta a tres años de cárcel, la condena impuesta es mínima. ¿Era Maksimov realmente Hell? ¿Existían vinculaciones entre esta identidad y el FSB? ¿Era Hell parte del propio FSB, de la unidad 64829 de este servicio? Ni lo sabemos, ni probablemente nunca lo sepamos, como quizás tampoco sepamos si Nashi, una organización patriótica juvenil nacida al amparo del Kremlin -esto sí que lo sabemos, es público- organizó ataques DDoS no sólo contra Estonia en 2007, sino también contra medios de comunicación rusos contrarios a las políticas de Putin, e igualmente intentó reclutar a periodistas y bloggers para conseguir su apoyo en actividades contrarias a los opositores al gobierno ruso… al menos eso dicen los correos robados por Anonymous -presuntamente, como siempre- a Kristina Potupchik, portavoz de Nashi en su momento y, más tarde, “ascendida” a responsable de proyectos en Internet del Kremlin (esto también es público).

Referencias
[1] Johan Sigholm. Non-State Actors in Cyberspace Operations. In Cyber Warfare (Ed. Jouko Vankka). National Defence University, Department of Military Technology. Series 1. Number 34. Helsinki, Finland, 2013.
[2] ThreatConnect. Belling the BEAR. Octubre, 2016. https://www.threatconnect.com/blog/russia-hacks-bellingcat-mh17-investigation/
[3] Kenneth Geers. Cyberspace and the changing nature of warfare. SC Magazine. Julio, 2008.
[4] David E. McNabb. Vladimir Putin and Russian Imperial Revival. CRC Press, 2015.
[5] Athina Karatzogianni (ed.). Violence and War in Culture and the Media: Five Disciplinary Lenses. Routledge, 2013.
[6] Andrew Foxall. Putin’s Cyberwar: Russia’s Statecraft in the Fifth Domain. Russia Studies Centre Policy Paper, no. 9. Mayo, 2016.
[7] CERT-Georgia. Cyber Espionage against Georgian Government. CERT-Georgia. 2011.
[8] William C. Ashmore. Impact of Alleged Russian Cyber Attacks. In Baltic Security and Defence Review. Volume 11. 2009.
[9] Jeffrey Carr. Project Grey Goose Phase II Report: The evolving state of cyber warfare. Greylogic, 2009.

Imagen cortesía de Zavtra.RU

La CCI rusa (XII): el ecosistema de inteligencia. Brigadas web

3 de febrero de 2017 Por

Las conocidas como Brigadas Web (o equipo G) son grupos teóricamente ligados al gobierno ruso que participan en foros, redes sociales, blogs, webs informativas… para generar una imagen positiva de Rusia (y en concreto de Putin) en los medios digitales; según apuntan algunos rumores estos grupos están controlados por el propio FSB, aunque esto sea difícil de demostrar [1]. Uno de los casos más conocidos del uso de brigadas web para difundir esta información es el de los Trolls de Olgino, un grupo bastante numeroso de personas pagadas –siempre teóricamente- para promover las posturas rusas en temas de política nacional o internacional.

Los miembros de las brigadas web tienen definidas incluso directrices para elaborar sus comentarios y opiniones ([4]), que marcan por ejemplo el número de palabras mínimo de cada entrada o las pautas para pasar desapercibido en redes sociales, combinando opiniones políticas con otras intrascendentes acerca de aficiones o viajes; algo que parece perfectamente estudiado y orquestado y en lo que con toda probabilidad se invertirán grandes cantidades de dinero, dinero que quizás provenga de grupos afines al gobierno… o del propio gobierno.

Estas actividades de propaganda, en línea con el amplio concepto ruso de information warfare, son perfectamente coordinadas y se abordan mediante identidades digitales ficticias (sockpuppets); el objetivo de estos grupos no es sólo crear comentarios positivos, sino introducir ruido, ambientes agresivos en foros de discusión y, en definitiva, un ecosistema que por un lado evite críticas al gobierno ruso y por otro apoye sus posiciones internas o internacionales en temas políticamente delicados. Y esto se aborda tanto dentro como fuera de los medios rusos; incluso, siendo malpensados, en medios españoles existen perfiles que siempre participan en noticias relacionadas con Rusia o sus intereses y que, en un castellano pobre, defienden a ultranza las posturas rusas, igual que en ese castellano pobre participan esporádicamente en otros temas intrascendentes… Fijaos en los foros :) (ojo, seguramente también existirán los perfiles que las ataquen o que defiendan otras, pero desde luego los pro-rusos a mi me llaman la atención).

La existencia de las brigadas web es, como casi siempre en este mundo de la inteligencia y la guerra de información, hipotética, y de hecho existen esfuerzos tanto para demostrar su actividad como para achacarla a teorías de la conspiración ([2]); no obstante, diferentes filtraciones e investigaciones parecen (ojo: parecen) confirmar no sólo la existencia de estos grupos sino también su vinculación al gobierno. Su actividad puede ser considerada una muestra del putinismo del que en ocasiones se acusa a los servicios rusos: no elaboran inteligencia, sino la inteligencia que justifique a su gobierno y apoye sus acciones (algo de lo que recientemente se ha acusado también a servicios de otros países). Pero especialmente, las actividades de las brigadas web son una excelente muestra de la inclusión de las operaciones psicológicas o de desinformación en la guerra de información rusa, de la que ya hemos hablado con anterioridad y que caracteriza las estrategias de este país diferenciándolas en buena parte de las occidentales (no obstante otros actores, como los asociados al DAESH, sí tienen una estrategia de guerra de información global). El excelente manejo ruso de la información con determinados fines y su uso en ciertas operaciones puede ampliarse en [3]; una referencia más global, no focalizada exclusivamente en Rusia, es [1].

Referencias
[1] Ulrik Franke. Information operations on the Internet. A catalog of modi operandi. FOI. Marzo, 2013.
[2] Alexander Yusupovskiy. Conspiracy theory. Russian Journal. Abril, 2003.
[3] Peter Pomerantsev and Michael Weiss. The menace of unreality: how the Kremlin Weaponizes Information, Culture and Money. Institute of Modern Russia. Noviembre, 2014.
[4] Anna Polyanskaya, Andrei Krivov, Ivan Lomko. Virtual eye of the Big Brother. Vestnik online. Abril, 2003.

La CCI rusa (XI): el ecosistema de inteligencia. Empresas

26 de enero de 2017 Por

Cuando hablamos de la relación de los servicios rusos con las empresas del país, es necesario destacar que a dichos servicios no les interesa cualquier tipo de organización, sólo las que puedan dar una cobertura al servicio o aquellas que les permita controlar, en mayor o menor medida, una parcela de interés para los intereses nacionales de Rusia –generalmente empresas estratégicas para la nación-: recursos naturales (gas y petróleo sobre todo), medios de comunicación, monopolios estatales creados tras el desmembramiento de la URSS… Como dato curioso en relación al control estatal en algunos ámbitos, en la legislación rusa se identifican sectores o empresas estratégicas y es la propia Ley rusa quien define cómo invertir en ellas, incluyendo la inversión extranjera en estas empresas: las empresas extranjeras tienen prohibido ser dueñas de una empresa estratégica rusa, salvo aprobación explícita del Presidente.

Quizá el caso más famoso de empresa aparentemente controlada –o al menos con un elevado grado de penetración- por los servicios rusos ha sido el de Aeroflot, las líneas aéreas rusas. Desde el KGB hasta nuestros días tal era el control de los servicios de inteligencia que vuelos comerciales de la compañía se han utilizado hipotéticamente para repatriaciones forzosas de ciudadanos rusos o incluso para el tráfico de armas biológicas. En 1996 se asocian a los servicios rusos 3.000 de sus 14.000 empleados, situación que es denunciada por el nuevo Presidente de la compañía, que incluso llega a reclamar que dichos servicios abonen el salario de su personal en la compañía; huelga decir que acaba en la cárcel.

Por supuesto, en la actualidad los servicios rusos tienen mucho interés en empresas tecnológicas (interés que no sustituye al que tienen en empresas más clásicas, sino que se suma a éste). Desde empresas cercanas a los contenidos (las que poseen la información) como Mail.RU o VKontakte, hasta las grandes operadoras de telecomunicaciones como Rostelecom o TransTelecom (las que transportan la información), pasando por compañías de seguridad como Group IB (que posee el primer CERT privado ruso), RTEC (Russian Telecom Equipment Company, especializada en el desarrollo de tecnologías para comunicaciones seguras) o Kaspersky, la mayor compañía de seguridad rusa (de la que hay que decir que elabora unos excelentes informes técnicos de APT).

Un caso muy conocido de control (perdón, colaboración) de una empresa por parte de los servicios rusos se produce en diciembre de 2013, cuando el FSB solicita a Pavel Durov, fundador y CEO de VKontakte, datos de usuarios ukranianos (en la imagen podemos ver dicha solicitud). Y es que VKontakte, el “Facebook ruso”, no es sólo ruso: tiene millones de usuarios de ex repúblicas soviéticas, lo que lo convierte en una fuente de datos inmejorable para los servicios rusos. Esta solicitud motiva que Pavel Durov deje la dirección de la red social, venda su parte de la compañía y abandone Rusia, pasando Mail.RU a tomar el control de VKontakte en septiembre de 2014.

a b

A pesar de casos como el de VKontakte, sin duda el mayor nivel de control sobre empresas tecnológicas que existe en Rusia se produce sobre los proveedores de telecomunicaciones (teléfono, Internet…); dichos proveedores están obligados a facilitar acceso “de serie” al FSB tanto a las comunicaciones como a documentos internos de las compañías mediante SORM (Systema Operativno-Razisknikh Meropriatiy). SORM puede traducirse del ruso como “sistema para medidas operativas de búsqueda en comunicaciones”, sabiendo que ORM (“medidas operativas de búsqueda”, es la definición amable de interceptación ([1]) y es un conjunto de regulaciones y, sobre todo, de equipamiento tecnológico, de aplicación en los proveedores, que facilita al FSB y a otros servicios un mecanismo sencillo para escuchar las comunicaciones, evitando cualquier autorización judicial. Un dispositivo físico es desplegado en la infraestructura del proveedor de comunicaciones y conectado mediante un cable especialmente protegido a centros de operaciones del FSB. A partir de ese momento, el servicio puede acceder a las comunicaciones y sistemas sin ningún tipo de control por parte del proveedor –que a pesar de pagar de su bolsillo el equipamiento no tiene acceso a éste- y, por supuesto, sin ningún tipo de orden judicial (al menos a priori).

SORM fue inicialmente desarrollado en 1996 y en la actualidad cuenta con tres capacidades fundamentales: SORM-I, para la interceptación de comunicaciones telefónicas fijas y móviles, SORM-II (1998), para la interceptación de tráficos de red (Internet) y SORM-III (2014), que proporciona capacidad de adquisición de todo tipo de comunicaciones y almacenamiento de los datos y metadatos interceptados, con un elevado periodo de retención. Estos sistemas se ocupan de adquirir toda la información relevante de las comunicaciones rusas y facilitan el acceso a estos datos no sólo al FSB, sino a diferentes agencias de seguridad o inteligencia del país.

En resumen la colaboración, voluntaria o no (“nadie le dice NO al FSB”), de algunas empresas con los servicios rusos es teóricamente elevada, como también lo es el grado de penetración de estos servicios en el tejido empresarial ruso con dos objetivos: control y cobertura. Y hoy en día las tecnológicas pueden aportar mucho en ambos sentidos. Ojo, nada nuevo ni exclusivo del ecosistema de este país: ya hablaremos algún día de la CIA y algunas líneas aéreas estadounidenses, o de la NSA y ERROR: EOT. Connection closed.
Referencias
[1] Andrei Soldatov. Russia’s communications interception practices (SORM). Agentura.RU. http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/soldatov_presentation_/soldatov_presentation_en.pdf. Enero, 2014.

La CCI rusa (X): el ecosistema de inteligencia

20 de enero de 2017 Por

coat_of_arms_of_the_russian_federation-svgNo podemos concebir la comunidad de inteligencia rusa, descrita en esta serie, como un conjunto de servicios dependientes del poder político o militar; el grado de penetración de estos servicios en toda la sociedad rusa es muy elevado, tanto oficial como extraoficialmente. No es ningún secreto que antiguos oficiales del KGB o del FSB ocupan puestos de responsabilidad en la política o las grandes empresas del país; como curiosidad, en 2006 se publicó que el 78% de los mil políticos más importantes del país habían trabajado para los servicios secretos rusos ([1]). Tanto es así que estos perfiles tienen un nombre propio: siloviki, término que viene a significar personas en el poder. Y no es ningún secreto quién es el siloviki más conocido: Vladimir Putin, Presidente de la Federación Rusa, quien fue agente del KGB en la época soviética y posteriormente Director del FSB.

Para entender este grado de penetración de la inteligencia rusa en ciertos órganos de poder es necesario remontarse especialmente a los años 90. El desmembramiento de la Unión Soviética causó una situación caótica en Rusia, con unos índices de paro o pobreza elevados; mucha gente había perdido su empleo –entre ellos, se estima que el 40% de los miembros del KGB ([2])- y la salida fácil para esos ciudadanos era, obviamente, la ilegal. Muchos antiguos miembros de las fuerzas de seguridad, del ejército o de los servicios de inteligencia acabaron engrosando las filas de grupos de crimen organizado o trabajando en el ámbito de la protección, legal o ilegal, de oligarcas o líderes mafiosos. Este trasvase de personal especializado a los grupos de crimen organizado supuso no sólo la forma de supervivencia de estas personas, sino un refuerzo considerable de dichos grupos, tanto en volumen como en calidad: muchos de ellos pasaron de ser pequeños grupúsculos sin especializar, que utilizaban técnicas básicas de intimidación, a convertirse gracias a esos nuevos fichajes en grupos mafiosos perfectamente organizados, con mejores recursos humanos y materiales y con unas tácticas altamente especializadas. Y muy especialmente, con mejores relaciones con los servicios de seguridad, defensa o inteligencia rusos, cuna de buena parte del nuevo personal de los grupos mafiosos.

En esta convulsa situación, parecía que el negocio más estable era el crimen organizado; a modo de ejemplo, en 1995 se había triplicado el número de homicidios frente a los datos de 1988. Cuando el Gobierno ruso comienza a privatizar empresas y servicios estatales, los grupos de crimen organizado, con mucho dinero y poder, identifican la oportunidad de posicionarse en éstos, lo que automáticamente no sólo incrementa su poder económico, sino que posiciona a las mafias en primera línea del poder político.
Recapitulemos: el crimen organizado mantenía una estrecha relación con los servicios de seguridad o inteligencia, ya que muchos de sus miembros provenían de éstos, y también con las grandes empresas privatizadas y por tanto con la política nacional. Una combinación perfecta para erigirse en una pieza clave para el país. El Gobierno ruso era consciente de que, para devolver el país a una situación de relativa normalidad había que contar, de forma obligatoria, con el crimen organizado; tanto fue así que en 1994 Boris Yeltsin llegó a denominar a Rusia “el mayor estado mafioso del mundo”.

Pero la llegada de Vladimir Putin al gobierno, en 1999, trata de cambiar esta situación con dos objetivos: devolver el control de los activos estratégicos al estado y hacer saber al mundo que el estado volvía a controlar dichos activos –y por tanto, Rusia era una potencia mundial como lo fue la URSS-. Arrebata el control de las principales empresas y puestos de mando a oligarcas y criminales y sitúa en ellos a antiguos oficiales del KGB o de su sucesor, el FSB, seguro de que todos ellos identificaban a la misma Madre Rusia de la que ya hemos hablado en esta serie.

Con una dosis de mano dura, Vladimir Putin consigue su reto y elimina en buena parte al crimen organizado de las posiciones estratégicas para el país; pero el poder adquirido por los grupos mafiosos durante los años noventa era demasiado elevado, y tratar de eliminar sus actividades por completo podría incluso desestabilizar a Rusia ([2]), con lo que Putin debe conformarse con apartarlos de estas posiciones estratégicas pero permitir de forma velada que continúen con sus negocios ilegales.
Fijémonos en la gran telaraña: los servicios de inteligencia rusos mantienen conexiones con el crimen organizado, ganadas en los años noventa, y una amplia penetración en los círculos de poder político (gobierno) y económico (empresas estratégicas) del país, ganada en la primera década de este siglo. Con este grado de infiltración en los círculos de poder, la inteligencia rusa consigue dos objetivos claros: cobertura y control (o colaboración, según el grado requerido en cada caso); esto ha sido así desde la época soviética y lo es –casualmente o no- en la rusa. De hecho, hasta hace poco, un elevado porcentaje de los altos cargos del gobierno ruso eran siloviki, si bien con Medvedev este porcentaje se ha reducido y los siloviki han perdido parte de su poder en la política, aunque aún constituyen un grupo de presión relevante (o varios, ya que hay varias “familias” de siloviki). Con la elección de Medvedev como Primer Ministro ruso, Putin reforzó a los liberales (economistas y abogados, muchos de ellos de San Petersburgo) frente a los siloviki, encabezados por Sergei Ivanov, a quien otorgó la Jefatura de la Oficina Ejecutiva Presidencial; un movimiento interesante entre dos clanes enfrentados que a partir de ese momento tienen un nexo de unión casi único: el propio Presidente Putin.

Además de con estos círculos de poder, los servicios rusos se relacionan estrechamente con movimientos ciudadanos e incluso con la iglesia ortodoxa rusa; aunque esta última relación no la vamos a describir –nos estamos focalizando, o intentándolo, en un ámbito ciber- no deja de ser un buen indicativo de hasta qué punto hay una amplia penetración social de la inteligencia en la sociedad rusa. Y veremos que esta penetración no se restringe a la inteligencia clásica, sino que se extrapola automáticamente al ámbito ciber.

Las relaciones de los servicios rusos con algunos de estos actores están en general amparadas por la Ley y no pueden más que causar prejuicios éticos; no obstante, en las relaciones “extraoficiales” la legalidad es más que dudosa, no sólo con el crimen organizado (en nuestro caso, con el cibercrimen organizado) sino también con movimientos como los patriotic hackers, que han lanzado auténticas campañas ofensivas contra objetivos de la patria rusa, quizás amparados por los propios servicios del país…
Vamos a repasar en estas próximas entradas las relaciones de la comunidad de inteligencia rusa, descrita con anterioridad, con los diferentes actores relevantes para dicha comunidad, que le permiten incrementar su control y sus capacidades de actuación, en especial extraoficialmente.

Referencias
[1] Alexander Klimburg, Heli Tirmaa-Klaar. Cybersecurity and cyberpower: concepts, conditions and capabilities for cooperation for action within the EU. Directorate-General for External Policies of the Union. Directorate B. Policy Department. European Parliament, 2011.

[2] Fred Burton, Scott Stewart. Russia and the Return of the FSB. Stratford Security Weekly. Abril, 2008.

La CCI rusa (IX): grupos APT

13 de enero de 2017 Por

russian-malware-analysis-temp-770x513Hemos hablado hasta el momento de los principales servicios que conforman la comunidad de inteligencia rusa en su ámbito ciber y seguiremos describiendo en sucesivos posts el resto del complejo ecosistema ruso pero, ¿dónde quedan las APT supuestamente rusas? Grupos conocidos por todos, como APT28 (FancyBear, Sofacy…) o APT29 (CozyBear, The Dukes…), deben estar, de alguna forma, relacionados con esta comunidad… si no son parte de la misma, ¿verdad?

Estos grupos, APT28 y APT29 (les llamaremos así, aunque aprovechamos para pedir desde aquí un estándar ISO para nomenclatura de grupos APT, que cada uno tiene una docena ;) son sin duda los más conocidos del panorama ruso, a raíz de los informes de FireEye [5] y [6]. Entonces, ¿son unidades de alguno de los servicios rusos expuestos anteriormente? ¿son mercenarios que venden su trabajo al mejor postor? ¿son grupos organizados que facilitan información a cambio de impunidad? ¿son el resultado de operaciones de bandera falsa de un tercero? Ni lo sabemos ni posiblemente lo sepamos nunca… No obstante, como es imposible, vamos a evaluar en este post, o al menos a intentarlo (recordemos que eso de la atribución es siempre hipotético, por eso nos gusta tanto ;), algunos de los elementos que nos permiten relacionar a estos grupos con los servicios rusos. Hay más grupos supuestamente rusos, como Turla; ya hablaremos de ellos en otro post…

APT28 y APT29
La primera pregunta que debemos plantearnos respecto a estos grupos es si realmente son rusos; los indicadores más técnicos apuntan a que sí: desde las horas y fechas de compilación de su arsenal, coincidente en buena parte con el horario laboral de Moscú y San Petersburgo, hasta la codificación y lenguajes utilizados en buena parte de sus artefactos. No obstante aquí nos topamos con el gran problema de la atribución, y es que la abordamos a partir de artefactos dejados, voluntaria o involuntariamente, por el atacante. ¿Puede un señor de Cuenca saber ruso -incluso coloquial-, cambiar la hora de su equipo para fijarla en ese horario al que hacíamos referencia o configurar el sistema en ruso? Sin problemas ¿Podrían ser estos grupos conquenses, entonces? Por supuesto.

Aunque los indicadores técnicos sean fácilmente alterables, son lo que tenemos para trabajar; tanto en APT28 como en APT29 los analistas identifican no a un señor de Cuenca, sino a un grupo estructurado, con responsabilidades separadas, con metodologías de desarrollo establecidas… algo que podríamos denominar una malware factory. Es decir, se identifica una organización potente detrás, organización que podría ser un grupo independiente, una unidad de un servicio determinado, una empresa… de Moscú, de San Petersburgo o de Cuenca.

Las necesidades de información, y por tanto los objetivos de estos grupos son más difícilmente falsificables que los indicadores puramente técnicos (ojo, pero no es imposible hacerlo); en el caso de estos grupos, sus víctimas son compatibles con las necesidades de información del gobierno ruso de las que ya hablaremos con detalle en esta serie de posts, tanto geográfica como operativamente. Falsificar esto sería mucho más costoso para un tercero -insistimos, pero NO imposible cuando hablamos de un actor con muchísimas capacidades, como un estado-; por tanto, si los indicadores técnicos apuntan a Rusia, los objetivos y víctimas apuntan a Rusia y las necesidades de información reflejadas coinciden con las supuestamente rusas ([8]) la probabilidad de que APT28 y APT29 tengan raíces rusas es ALTA. ¿Podemos confirmarlo al 100%? Por supuesto que NO.

TTP
Las tácticas, técnicas y procedimientos habituales asociados a APT29 pasan por el ataque a través de phishing dirigido a la víctima, con un enlace en el correo para descargar un dropper que al ejecutarse descargará a su vez un RAT; por su parte, APT28 trabaja más con la creación de páginas web fraudulentas similares en aspecto a las de sus objetivos, con nombres de dominios cercanos a los legítimos, para robo de credenciales. El arsenal de APT28 se basa principalmente en la explotación de productos de Microsoft y Adobe, al igual que el de APT29, en ambos casos debido sin duda a la popularidad de estos entornos y por tanto al éxito en su explotación; no obstante, APT28 utiliza más vulnerabilidades sin exploits conocidos que APT29 ([2]) y además su catálogo es mucho mayor que el de este último, lo que podría implicar tanto un número mayor de recursos como una mayor experiencia en el ámbito del ciberespionaje por parte de APT28 que por parte de APT29, pero por contra APT29 es muy discreto y tiene un objetivo de persistencia muy alto. En cualquier caso, ambos grupos son técnicamente excelentes y su catálogo de vulnerabilidades rara vez se solapa, lo que denotaría la separación (y la competencia) de ambos, y que sería compatible con la separación (y la competencia) de los servicios rusos a la que ya hemos hecho referencia en esta serie de posts. Adicionalmente, algunas de las vulnerabilidades explotadas por APT28 y APT29 en sus campañas son también aprovechadas por grupos vinculados al cibercrimen ([2]), lo que puede ser desde una maniobra de distracción hasta algo que quizás refuerce la teoría de la estrecha vinculación entre la comunidad de ciberinteligencia rusa y otros actores de su entorno, como analizaremos más adelante en esta misma serie de posts.

En ambos casos las metodologías de trabajo, las capacidades técnicas, la infraestructura de operación, la seguridad de sus operaciones (OPSEC)… denotan que APT28 y APT29 no son atacantes individuales o grupos poco organizados, sino grupos con una cantidad de recursos considerables, estables en el tiempo y con una estructura y operativa perfectamente definidas. ¿Apoyados por un estado? ¿Parte directa de dicho estado? En [8] encontramos un excelente análisis. La probabilidad es ALTA, ya que pocas organizaciones pueden disponer de estas capacidades pero, como siempre, no podemos confirmarlo con certeza.

Objetivos
Entre los objetivos de APT28 se encuentran sectores como el aeroespacial, defensa, energía, administraciones públicas y medios de comunicación (recordemos el manejo de la información en las estrategias y doctrinas rusas), con un especial cariño por los ministerios de Defensa y organizaciones de los sectores anteriores ligadas al entorno militar ([1]) que casualmente reflejan los intereses de la inteligencia militar rusa; en [5], informe donde FireEye identifica a este grupo como APT28, se detallan algunos de los objetivos -y de las víctimas- de APT28, destacando su interés operativo en los ámbitos cercanos al militar y, adicionalmente, su interés en el control de la información relativa a temas relevantes para Rusia, algo alineado con el amplio concepto de information warfare ruso al que hemos hecho referencia en posts anteriores. APT28 no aborda robo de propiedad intelectual, y adicionalmente, los países comprometidos corresponden con los principales intereses geopolíticos rusos -que ya comentaremos en futuros posts-, y los objetivos son compatibles tanto con el origen ruso del grupo como con la posible cercanía del mismo con el ámbito militar; dicho de otra forma, APT28 y GRU comparten necesidades de información y objetivos, por lo que quizás, sólo quizás, tengan algún tipo de relación. ¿Es APT28 una unidad del GRU? No lo sabemos ¿Es un grupo externo pagado por el GRU? No lo sabemos ¿Es un grupo de Cuenca? No lo sabemos…

Por su parte, APT29 amplía los objetivos de su competidor, desligándolos parcialmente del ámbito militar para focalizarse no sólo en éste, sino además en sectores como el farmacéutico, el financiero o el tecnológico, por poner solo unos ejemplos, así como en ONG e incluso en organizaciones delincuenciales ([7]). Este último elemento es muy significativo, ya que podría reflejar las atribuciones policiales, y por tanto las necesidades de información, del FSB ruso, mientras que el ataque a diferentes ONG implica -o puede implicar- intereses políticos, económicos o de control de la información. En línea con un servicio como el FSB… o en línea con una operación conquense de bandera falsa.

Un ejemplo reciente
Sin duda, el caso reciente más sonado de supuestos compromisos por parte de APT rusas, en esta ocasión tanto por APT28 como por APT29, es el del Democratic National Comitee (DNC) estadounidense, en 2016, y su potencial influencia en los resultados de la campaña electoral, incidente descrito a la perfección en [3]; Crowdstrike puso de manifiesto la presencia de ambos grupos en los sistemas del DNC, con una mayor persistencia por parte de APT29, y dejando la competencia entre estos grupos: no comparten TTP, ni vulnerabilidades, ni recursos… pero en ocasiones comparten objetivos. A los elementos técnicos para la atribución a los servicios rusos, analizados por compañías como la anterior (y reforzados posteriormente por otras como FireEye o Fidelis) se une la sorpresiva aparición de Guccifer 2.0, una identidad presumiblemente falsa (un sockpuppet) compatible con la doctrina militar rusa y completamente alineado con el amplio concepto de information warfare al que ya hemos hecho referencia y que incluye la decepción, la desinformación, etc. Un excelente análisis de este sockpuppet y su potencial relación con una operación de bandera falsa del GRU puede encontrarse en [4].

Conclusiones
Hemos visto en este post que todo apunta a que APT28 y APT29 son de origen ruso y posiblemente cuentan con el apoyo de un gobierno para sus actividades, dos hipótesis de probabilidad ALTA. Las necesidades de información de ambos grupos son compatibles con las necesidades de información del gobierno ruso, y sus objetivos coinciden también con las inquietudes de dicho gobierno en diferentes ámbitos. No comparten inteligencia ni arsenales, lo que sería compatible con la separación de los diferentes servicios de inteligencia rusos si APT28 y APT29 estuvieran ligados a algunos de ellos, pero sí objetivos: el resultado final, la inteligencia, será de mayor calidad. Según diferentes analistas, APT28 puede estar relacionado con la inteligencia militar rusa, el GRU, mientras que APT29 lo estaría con el FSB. Puede que sea así. O puede que no. Muchas veces uno llega a la conclusión de que nombres como APT28, PawnStorm, APT29, Snake… no son más que la forma elegante que tenemos de decir FSB, GRU, FSO… cuando no tenemos las pruebas suficientes para confirmar la implicación de estos servicios en ciertas operaciones. En cualquier caso, si realmente APT28 se corresponde con una unidad del GRU y APT29 con una unidad del FSB (o viceversa, como defiende [9]) es algo que por supuesto ni sabemos a ciencia cierta ni creo que podamos saber a corto plazo: todo son hipótesis. Quizás en estos momentos hay un señor en Cuenca, muy listo y organizado, con muchos recursos, escuchando Radio Moscú para perfeccionar un idioma extranjero y configurando su equipo con la zona horaria de San Petersburgo mientras se ríe de todos los analistas del mundo.

Referencias
[1] Dmitri Alperovitch. Bears in the Midst: Intrusion into the Democratic National Committee. CrowdStrike. Junio, 2016. https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

[2] RFSID. Running for Office: Russian APT Toolkits Revealed. Agosto, 2016. https://www.recordedfuture.com/russian-apt-toolkits/

[3] Eric Lipton, David E. Sanger, Scott Shane. The Perfect Weapon: How Russian Cyberpower Invaded the U.S. New York Times. Diciembre, 2016. http://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html

[4] Thomas Rid. All Signs Point to Russia Being Behind the DNC Hack. Motherboard. Julio, 2016. http://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack

[5] FireEye. APT28: A window into Russia’s cyber espionage operations?. FireEye. Octubre, 2014. https://www2.fireeye.com/apt28.html

[6] FireEye. HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group. FireEye. Julio, 2015. https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf

[7] F-Secure. THE DUKES. 7 years of Russian cyberespionage. F-Secure. Septiembre, 2015. https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf

[8] Jen Weedon. Beyond ‘Cyber War’: Russia’s Use of Strategic Cyber Espionage and Information Operations in Ukraine. Kenneth Geers (Ed.), Cyber War in Perspective: Russian Aggression against Ukraine. NATO CCD COE Publications. Tallinn. 2015.

[9] Malcolm Nance. The plot to hack America: How Putin’s cyberspies and WikiLeaks tried to steal the 2016 election. Sky horse Publishing, 2016.

Imagen cortesía de Indian Strategic Studies.

La CCI rusa (VIII): GRU

4 de enero de 2017 Por

gru_emblemEl único de los grandes servicios rusos que, como ya hemos indicado, no es un heredero directo del KGB es el GRU (Glavnoye Razvedyvatelnoye Upravlenie), unidad militar 44388, cuyo objetivo es proporcionar inteligencia al Ministerio de Defensa, a la cúpula militar y a las fuerzas armadas rusas en su conjunto. Este servicio está dedicado a la inteligencia militar, desde la estratégica a la operativa, trabajando no sólo en un sentido exclusivo de defensa, sino abarcando también otros aspectos como la política o la economía ligadas al ámbito militar, y en especial la inteligencia exterior –en ocasiones junto al SVR-; desde el año 1996, tiene encomendada la misión de adquirir incluso información relativa a ecología y medio ambiente. Para ejecutar estas tareas, el GRU dispone de todo tipo de capacidades, desde IMINT hasta HUMINT, pasando por OSINT y, por supuesto, SIGINT, capacidades que le dotan de un ámbito de actuación e influencia internacional y que permiten al GRU “actuar en cualquier punto del mundo donde pudiera surgir la necesidad”, según declaraciones del General Valentin Vladimirovich Korabelnikov, en una entrevista concedida en 2006, cuando era Director del GRU.

El GRU es sin duda el más opaco de los servicios rusos y posiblemente el mejor de ellos; se trata de un grupo que mantiene ciertas reminiscencias soviéticas –recordemos que sobrevivió al KGB- e incluso que considera “occidentalizados” a otros servicios como el FSB. Como curiosidades, el GRU recluta a sus agentes entre las clases “proletarias”, preferentemente a personal sin conocimientos de idiomas, y entre sus supuestos cometidos está el enterrar armas en territorio hostil para poderlas utilizar en caso de conflicto; no dispone de servicio de contrainteligencia (función ejercida por el FSB) ni tampoco de oficina de prensa (realmente, el GRU no es más que una Dirección General dentro del Ministerio de Defensa ruso) o página web oficial ([1]). Gracias a sus métodos de trabajo, es el servicio de inteligencia que menos desertores ha tenido en la historia soviética y rusa.
[Read more…]