La CCI rusa (XIII): el ecosistema de inteligencia. Patriotic hackers

El concepto de hacker patriótico puede entenderse como el atacante, en el ámbito ciber, cuyas actividades apoyan de una u otra forma a su país en un conflicto real, dirigidas contra el enemigo del estado ([1]). Junto a China, Rusia ha sido quizás uno de los países que más ha potenciado a estos colectivos, activos desde hace años en conflictos como el de Kosovo (1999), Estonia (2007) o Georgia (2008); en España, si ha existido algo similar alguna vez y en cualquier caso no state sponsored, podría ligarse a pequeñas acciones en la red contra el entorno etarra tras el asesinato de Miguel Ángel Blanco (1997), quizás a caballo entre el hacktivismo y los patriotic hacker (esto daría para un interesante debate), pero en cualquier caso muy alejado de las actividades de grupos patrióticos en otros conflictos o países.

En Rusia han sido identificados diferentes grupos que podríamos denominar afines al Kremlin (desde Chaos Hackers Crew, en 1999, hasta Cyber Berkut, activo en el conflicto con Ucrania) y a sus acciones, grupos que han focalizado sus actividades en defacements y, en especial, en ataques DDoS contra objetivos que han sido considerados contrarios a los intereses rusos. De cada una de las operaciones de estos grupos hay literatura y más literatura; un excelente resumen de las más notorias puede encontrarse en [8]. Ya en 1994, en la Primera Guerra Chechena, algunos grupos patrióticos usaron la entonces incipiente web para actividades de propaganda y operaciones psicológicas (PSYOP), en ese momento con victoria chechena, victoria que cambiaría de bando tiempo después (1999) en la Segunda Guerra Chechena ([3]). Años más tarde, en 2007, Rusia lanza una ofensiva ciber contra Estonia que detiene la operación de la banca online de los principales bancos estonios, bloquea el acceso a medios de comunicación e interrumpe comunicaciones de los servicios de emergencia ([4]); pero no hay muertos ni heridos en ninguno de los bandos, a diferencia de lo que sucede poco más tarde (2008) en Georgia, donde se produce una ofensiva híbrida -el primer caso conocido en la historia- compuesta por ciberataques y una invasión armada, conflicto en el que surgen diferentes grupos que animan a atacar -en especial, mediante DDoS a los sitios web que apoyan al bando contrario. Estos ataques de denegación era diferentes de los lanzados contra Estonia: no sólo se basaban en la inyección de grandes volúmenes de tráfico o peticiones contra el objetivo, sino que además empleaban técnicas más sofisticadas, como el uso de determinadas instrucciones SQL para introducir carga adicional en dicho objetivo, amplificando así el impacto causado.

Más o menos a la par que a Georgia le llega el turno a Lituania, también en 2008 y, como en Estonia, en respuesta a decisiones políticas que no gustan a sus vecinos rusos; en este caso el gobierno lituano decide retirar los símbolos comunistas asociados a la antigua URSS, lo que provoca ataques de denegación de servicio y defacements de páginas web para ubicar en ellas la hoz y el martillo. Unos meses después de las acciones en Lituania, comienzan ataques contra Kyrgyzstan, ya en 2009 y de nuevo tras decisiones políticas que no gustan a los rusos, ahora relativas al uso de una base aérea del país por parte de los estadounidenses, clave para el despliegue americano en Afganistán. En este caso se trata de ataques DDoS contra los principales ISP del país, que degradaron más todavía las ya precarias infraestructuras kirguisas, con origen en direccionamientos rusos pero, según algunos expertos, con muchas más dudas en la atribución que otros ataques del mismo tipo sufridos anteriormente por otros países. También en 2009 Kazakhstan, otra ex República Soviética -y por tanto de interés prioritario para la inteligencia rusa- sufre ataques DDoS tras unas declaraciones de su Presidente en las que criticaba a Rusia.

Por último, ya en 2014, Ucrania se convierte en otro ejemplo de guerra híbrida, tal y como sucedió en Georgia años atrás, y en una excelente muestra del concepto ruso de guerra de información, con ataques no solo DDos sino, en especial, de desinformación a través de redes sociales: VKontakte, supuestamente bajo control de los servicios rusos (ya hablamos de la relación de estos con empresas, tecnológicas o no), es la red social más usada en Ucrania, lo que ofrece una oportunidad inmejorable para poner en práctica esa desinformación ([6]). Por diferentes motivos, entre ellos la propia duración del conflicto, Ucrania es un excelente ejemplo del rol de los hackers patrióticos por parte de ambos bandos (Cyber Berkut por el lado ruso y RUH8 por el ucraniano), apoyando intervenciones militares tradicionales, poniendo en práctica guerra de información, operaciones psicológicas, DDoS, ataques a infraestructuras críticas…

La presencia y operaciones de los patriotic hackers rusos parece indiscutible; la duda es conocer la relación de estos grupos y sus acciones con el Kremlin y con sus servicios, si existe, y el grado de control que pueda tener el gobierno ruso sobre los mismos… e incluso su relación con otros actores de interés para la inteligencia rusa, como el crimen organizado, del que hablaremos en el próximo post de la serie. Acciones como las ejecutadas contra servidores ucranianos en 2014 por parte de Cyber Berkut mostraron unas TTP muy similares a las empleadas con anterioridad en Estonia o Georgia, lo que vincularía estas acciones no solo a grupos correctamente organizados, sino también induciría a pensar una posible vinculación con el Kremlin, a raíz de la hipotética atribución de estas últimas acciones con el gobierno ruso ([2]). En [9] se realiza un interesante análisis de la relación entre los hackers patrióticos, el cibercrimen y los servicios de inteligencia rusos durante el conflicto armado con Georgia, en 2008; adicionalmente, también en las tensas relaciones entre Rusia y Georgia se genera otra hipotética prueba, al menos especialmente curiosa, de la vinculación entre ataques, hackers patrióticos y servicios rusos: en 2011 el CERT gubernamental georgiano ([7]), ante un caso de ciberespionaje supuestamente ruso, decide comprometer voluntariamente un equipo con el malware usado por los atacantes, poner un fichero señuelo en el mismo y a su vez troyanizar dicho archivo con un software de control remoto. Cuando el atacante exfiltró el honeypot, el CERT pudo tomar el control de su equipo, grabando vídeos de sus actividades, realizando capturas a partir de su webcam y analizando su disco duro, en el que se encontraron correos electrónicos supuestamente entre un controlador -dicen las malas lenguas de algunos analistas que del FSB, quién sabe…- y el atacante, intercambiando información de objetivos y necesidades de información e instrucciones de cómo usar el código dañino

Con independencia de las relaciones de los servicios rusos con grupos de hackers patrióticos, la infiltración o el grado de control sobre los mismos, lo que sí es cierto es que en determinados casos el FSB ha evitado, de forma pública, ejercer sus funciones policiales para perseguir actividades a priori delictivas de los hackers patrióticos rusos: en 2002, estudiantes de Tomsk lanzaron un ataque de denegación de servicio contra el portal Kavkaz-Tsentr, que hospedaba información sobre Chechenia molesta para los rusos; la oficina local del FSB publicó una nota de prensa en la que se refería a estas acciones de los atacantes como una legítima “expresión de su posición como ciudadanos, digna de respeto” ([5]). Y lo que sí es indiscutible es que tras decisiones de un gobierno soberano que pueden ser contrarias a los intereses del gobierno ruso o simplemente a su opinión, dicho gobierno sufre ataques más o menos severos -en función de la importancia de dicha decisión- contra sus infraestructuras tecnológicas, al menos en zonas especialmente relevantes para la inteligencia y el gobierno rusos como son las ex Repúblicas Soviéticas; por supuesto, ataques que es difícil ligar de manera fehaciente al gobierno ruso o a hackers patrióticos de este país, pero que se producen en cualquier caso.

Para acabar, un detalle: los hackers patrióticos rusos no solo han ejecutado acciones contra terceros países, sino que también han operado dentro de la RUNet; uno de los casos más conocidos es el de Hell, actuando contra movimientos liberales rusos: opositores al gobierno, periodistas, bloggers… y del que (o de los que) han circulado indicios de su vinculación con el FSB (recordemos, inteligencia interior), en concreto con el CIS de este servicio. En 2015 se juzga y condena en Alemania a Sergei Maksimov, supuestamente Hell, por falsificación, acoso y robo de información; aunque se enfrenta a tres años de cárcel, la condena impuesta es mínima. ¿Era Maksimov realmente Hell? ¿Existían vinculaciones entre esta identidad y el FSB? ¿Era Hell parte del propio FSB, de la unidad 64829 de este servicio? Ni lo sabemos, ni probablemente nunca lo sepamos, como quizás tampoco sepamos si Nashi, una organización patriótica juvenil nacida al amparo del Kremlin -esto sí que lo sabemos, es público- organizó ataques DDoS no sólo contra Estonia en 2007, sino también contra medios de comunicación rusos contrarios a las políticas de Putin, e igualmente intentó reclutar a periodistas y bloggers para conseguir su apoyo en actividades contrarias a los opositores al gobierno ruso… al menos eso dicen los correos robados por Anonymous -presuntamente, como siempre- a Kristina Potupchik, portavoz de Nashi en su momento y, más tarde, “ascendida” a responsable de proyectos en Internet del Kremlin (esto también es público).

Referencias
[1] Johan Sigholm. Non-State Actors in Cyberspace Operations. In Cyber Warfare (Ed. Jouko Vankka). National Defence University, Department of Military Technology. Series 1. Number 34. Helsinki, Finland, 2013.
[2] ThreatConnect. Belling the BEAR. Octubre, 2016. https://www.threatconnect.com/blog/russia-hacks-bellingcat-mh17-investigation/
[3] Kenneth Geers. Cyberspace and the changing nature of warfare. SC Magazine. Julio, 2008.
[4] David E. McNabb. Vladimir Putin and Russian Imperial Revival. CRC Press, 2015.
[5] Athina Karatzogianni (ed.). Violence and War in Culture and the Media: Five Disciplinary Lenses. Routledge, 2013.
[6] Andrew Foxall. Putin’s Cyberwar: Russia’s Statecraft in the Fifth Domain. Russia Studies Centre Policy Paper, no. 9. Mayo, 2016.
[7] CERT-Georgia. Cyber Espionage against Georgian Government. CERT-Georgia. 2011.
[8] William C. Ashmore. Impact of Alleged Russian Cyber Attacks. In Baltic Security and Defence Review. Volume 11. 2009.
[9] Jeffrey Carr. Project Grey Goose Phase II Report: The evolving state of cyber warfare. Greylogic, 2009.

Imagen cortesía de Zavtra.RU