El conflicto entre Rusia y Ucrania en Europa del Este tiene larga data y su actual desarrollo proviene de una constante escalada que con el tiempo ha incluido además al plano de ciberoperaciones, permitiendo librar una batalla “invisible” para gran parte de la población mundial pero que, sin embargo, ha sido capaz de generar grandes disrupciones en infraestructura crítica de diferentes países en donde las consecuencias han sido tangibles para los civiles, más aún cuando en “las sombras” se es financiado por un estado (APT’s). Chile no está ajeno a los impactos que trae consigo la guerra. En efecto, hemos visualizado algunos grupos de actores de amenazas que se encuentran presentes a nivel nacional y que mencionaremos en este boletín, por lo cual recomendamos:
ACTUALIZAR TODO:
RESPALDAR TODO:
ASEGURAR SU SUPERFICIE DE ATAQUE:
PROTEGER IDENTIDADES:
SEGURIDAD FUNCIONAL:
CONCIENCIACIÓN ORGANIZACIONAL:
Meses antes del inicio del conflicto han existido diferentes incidentes de seguridad en infraestructura crítica principalmente en Europa, ejecutado por diferentes actores que vinculados o no a un estado, inherentemente han favorecido al aumento de tensiones que hacían prever, pero no desear, que concluyese en un conflicto bélico. Si bien, en este ámbito los afectados y los ejecutores no corresponden únicamente a Rusia y Ucrania, durante fines de 2021 y el transcurso de 2022 se ha logrado percibir un aumento considerablemente en este tipo de ataques, inclusive presentando nuevas intenciones como el uso de la técnicas enfocadas netamente en la destrucción, con malware llamados “DataWiper” que resulta en la eliminación de toda la información del equipo afectado, incluido el Sistema Operativo, actuando de una forma más agresiva que solo el secuestro de la información. A continuación algunos ejemplos de ataques que han afectado la infraestructura crítica de diferentes sectores productivos.
INDUSTRIAS DEL PETRÓLEO: Desde diciembre de 2021 hasta la fecha, se han registrado 8 incidentes de ciberseguridad contra industrias del petróleo:
INDUSTRIAS DEL SECTOR ELÉCTRICO: Ucrania Si bien este evento no corresponde a la actualidad, es un precedente de un cyber conflicto que se arrastra desde hace varios años, en el que se apunta a Rusia como responsable de una seguidilla de intervenciones en el sistema eléctrico generando BlackOut en ciudades de Ucrania durante los períodos de 2015 a 2016
INDUSTRIAS DE BANCA & FINANZAS: Ucrania En un ataque dirigido a entidades de gobierno de Ucrania, se observó la afectación de bancos estatales y privados mediante potentes ataques de denegación de servicio (DDoS) y Defacement que interrumpieron los servicios por algunas horas. Bancos afectados:
Canadá Se observó una interrupción en los principales bancos de Canadá en el servicio de banca en línea incluidas transferencias, incluso afectando el retiro de dinero en cajeros automáticos. Bancos afectados:
Para estas interrupciones se observó que para diferentes bancos se prolongó desde un par de horas hasta el día entero. Es importante recordar que en un caso similar ocurrido en Chile, la denegación de servicio solo sirve como distractor para la sustracción de importantes cantidades de dinero.
INDUSTRIAS DE TELECOMUNICACIONES: Vodafone Portugal Para este ataque si bien se desconoce la causa, logró interrumpir las redes 4G y 5G de Vodafone portugal en todo el país, junto a otros servicios como SMS y telefonía fija. Considerando el volumen de clientes abonados a esta organización, se estiman más de 7 millones de usuarios afectados. Croacia La compañia A1 Hrvatska que es partner estratégico de Vodafone, fue afectado por un ataque a sus bases de datos en donde se logró realizar la sustracción de información del 10% de sus clientes (aproximadamente 200.000 usuarios) que contenía nombres, numero de identificacion, direccion de domicilio y número de teléfono. Vodafone Ucrania Desde una firma de ciberseguridad se ha identificado una importante disrupción en los servicios de telefonía móvil de Vodafone en una ciudad de Ucrania durante aproximadamente una hora. El día posterior desde el ministerio del interior se advirtió de un posible sabotaje que involucra el corte de una fibra óptica de la red.
INDUSTRIAS DE TRANSPORTE: Bielorusia Hackers de bielorusia se adjudicaron un ataque dentro de su mismo territorio, cifrando los servidores del sistema de trenes de Bielorusia en forma de protesta por el uso de la misma, con fin de detener el transporte y despliegue de tropas Rusas hacia la frontera Ucraniana, siendo este uno de los primeros movimientos militares previo al estallido del conflicto. Poco después de esta intervención, ciberactores de Irán se sumaron a la adjudicación de responsabilidades.
GOBIERNO: Ucrania
Luego de conversaciones insatisfactorias entre Ucrania, Rusia y Estados unidos, se vieron afectados diferentes entidades del gobierno ucraniano en donde junto a un mensaje de “defacement” en los portales web de el ministerio de relaciones exteriores, educación, ciencia, defensa, entre otros se advirtió que toda la información había sido exfiltrada y posteriormente eliminada de forma definitiva. Ucrania El mismo día que se realizaron los ataques a la banca en Ucrania, además se registraron ataques de la misma índole (DDoS y Defacement) hacia sitios web del gobierno como el ministerio de defensa y una radioemisora estatal. Desde el servicio de seguridad del país afectado indicaron que los ataque se vinculan a ciberactores Rusos Ucrania Tras los recientes ataques bélicos desarrollados con fuerza militar, en forma paralela se han realizado nuevos ataques de “defacement” a sitios web gubernamentales que han incluido enlaces a sitios de la red TOR donde se publican múltiples Leaks de los ministerios afectados durante el ataque de similares características realizado el dia 14 de enero de 2022.
Comunicados de alerta internacional por Reino Unido y Nueva Zelanda Debido a que el conflicto entre naciones ha tomado posición en el plano cyber se han demostrado las grandes capacidades que Rusia posee en esta materia, por lo que se han advertido como una amenaza global desde diferentes países fuera del conflicto, como es el caso de Reino Unido y Nueva Zelanda. En el caso de Reino Unido, el día 28 de enero de 2022 tras visualizar constantes ataques a portales del gobierno ucraniano, lanzó un comunicado de advertencia sobre ataques inminentes en la región por parte de actores respaldados por Rusia, recomendando acciones de prevención. Por otra parte desde Nueva Zelanda advierte de daños colaterales producto del conflicto hacia múltiples sectores fuera del centro del conflicto ya que como se ha observado anteriormente, actores como CozyBear ya cuentan con antecedentes y capacidades para afectar sistemas utilizados globalmente como fue el caso de SolarWind Orion en 2020
En el marco de las diferentes operaciones llevadas a cabo en la última semana y específicamente aquellos escenarios en donde ha existido participación de lo que se puede catalogar como “armas” para la ciberguerra, el modo de acción de los atacantes sobre sus objetivos han demostrado claramente intenciones de causar daño y pánico en la población. Lo anterior se puede respaldar en la información entregada en diferentes boletines que se han comunicado, mencionando la serie de ataques sufridos por Ucrania y las diferentes tácticas y artefactos utilizados para ello. Aquí es donde se debe poner especial atención en cuanto al impacto producido por lo mencionado anteriormente, dado que en este escenario, observamos un adversario que no busca negociar, manteniendo tensión e incertidumbre de cómo y cuándo será su próxima “jugada”. A modo de clarificar cómo se han concretado estas operaciones contra organizaciones y población ucranianas, causando un impacto negativo en la cotidianidad del país, podemos mencionar: 1. Ataques que han incluído DDoS
Durante enero de 2022, varias organizaciones ucranianas fueron víctima del ataque con un supuesto ransomware, el que finalmente buscaba no solo cifrar archivos en el equipo víctima, sino que corromper la unidad de almacenamiento, haciendo imposible su restauración y por consiguiente, la recuperación de los datos comprometidos. Conocido como WhisperGate, sus ataques se concentraron principalmente en agencias gubernamentales, y unas semanas más tarde, durante el día 23 de febrero (posterior a los importante ataques DDoS llevados a cabo contra Ucrania), un equipo de investigación de ESET informó sobre la existencia de un nuevo malware con similares características al ransomware NotPetya, quienes comparten, entre otras características, ataques a infraestructura crítica en Ucrania y cifrado/borrado de archivos si solicitar un rescate. Ambas piezas de malware, con un objetivo totalmente disruptivo y con la intención evidente de provocar daño, afectando la integridad y disponibilidad de la información.
Del mismo modo, el grupo detrás de ransomware Conti, que a la fecha es el que más víctimas ha acumulado, también hizo un comunicado informando que apoya de manera explícita a Rusia y que tomará acciones contra la infraestructura crítica de cualquier entidad que intente realizar algún ciberataque contra este país.
4. Llamado de Ucrania a apoyar su defensa Posterior a la ofensiva llevada a cabo por Rusia contra Ucrania el día 24 de febrero, diferentes fuentes organizadas del país atacado, hicieron un llamado para apoyar su defensa, solicitando cooperación internacional (públicamente solicitada a España) y el reclutamiento de expertos en ciberseguridad y hackers.
5. Campañas de phishing contra ciudadanos ucranianos Diferentes medios reportaron una masiva campaña de phishing contra ciudadanos ucranianos, durante la mañana del 25 de febrero.
6. Principales actores de amenaza presentes en el conflicto Para poder tener una visión completa de los acontecimientos recientes en cuanto al conflicto ruso - ucraniano, es necesario, mencionar los principales actores de amenaza involucrados en operaciones llevadas en territorio ucraniano: UNC1151: SANDWORM: TA505: TA551: APT28: APT29: TEMP.Armageddon (o Gamaredon): Dev-0586 o UNC2589:
Para poder profundizar en el escenario actual nacional y del territorio sudamericano, fue necesario detenerse a analizar la amenaza que en este momento se encuentra involucrada en el conflicto de Europa del Este. Cada uno de los ataques llevados a cabo en esa zona, involucran actores maliciosos cuya presencia en el mundo, ha impactado a diferentes sectores de la industria, así como organizaciones gubernamentales. Estos actores de amenaza, motivados por espionaje, beneficio económico, ventaja militar/política y disrupción, han estado presentes en acciones que han involucrado a Chile como víctima y otros países de Sudamérica, donde sin lugar a dudas, han llevado a cabo robo de información y otras actividades relacionadas con el análisis de superficies de ataque y exposición de sus objetivos. De lo anterior y considerando las herramientas/armas analizadas en este informe, se puede inferir que la tendencia de campañas del tipo phishing, con un modo de operación al estilo de estos actores maliciosos, irá al alza con el pasar de los días, puesto que ya se ha observado actividad de diferentes amenazas lanzadas de grupos conocidos. Es de esperar que TA505 reactive sus ataques en Chile, con la combinación mejorada de una campaña de phishing tipo “MirrorBlast” y el troyano modular “Emotet”, además de la reciente explotación de vulnerabilidades en MS Exchange lanzando la campaña “SquirrelWaffle Typosquatting”, principalmente enfocados en los frentes bancarios e industria energética, ataques que en algún momento fueron observados en Ucrania durante 2021 y principios de 2022. Siguiendo con la idea anterior, el grupo TA551 entra en los candidatos para lanzar operaciones de phishing y robo de información en Chile, ya que este actor de amenaza mantiene presencia en Ucrania y es de esperar que con los presentes acontecimientos, exista una mejora en sus capacidades de ataque y reactive sus campañas, de una manera más agresiva y sofisticada. Campañas recientes de ataques donde se explotan vulnerabilidades en MS Exchange han sido observadas en ejecución por parte del grupo iraní “Moses Staff” (al igual que TA505), por lo que existe una alta probabilidad de que sus operaciones alcancen Chile. En este preciso caso y como se menciona en diferentes investigaciones, este grupo orienta sus esfuerzos en actividades destructivas sin fines benéficos de naturaleza tangible. Por lo tanto, bajo este nuevo escenario mundial y considerando los antecedentes analizados, Chile no se encuentra ajeno a estas amenazas que en este momento se pueden catalogar como INMINENTES, por cuanto el conflicto actual prevalece entre dos países definidos, sin embargo, hablando de ciberguerra, ciberterrorismo y ciberdelincuencia, no existen fronteras. Además, es de esperar que el MaaS como hoy se conoce, evolucione para dar paso a una “nueva era” de extorsión que va más allá de datos cifrados y la amenaza de filtración, pudiendo ahora los atacantes exigir un rescate por la información y posibles equipos comprometidos por un “wiper”, lo que de no ser acordado, supondría un alto costo de recuperación para las organizaciones.
IMPACTO EN CHILE Si bien estas amenazas están asociadas a los incidentes anteriormente descritos, es importante entender que las industrias hispanoparlantes también podrían verse afectadas por la explotación de vulnerabilidades que puedan tener relación con la utilización de sistemas comunes, es por ello que hacemos un llamado a las industrias de petróleo, telecomunicaciones y bancarias para que se mantengan en estado de alerta DEFCON-2.
Infraestructura Crítica Banca & Finanzas Tomando en cuenta las capacidades de cada uno de los ciberactores, existe una alta probabilidad (sino inminente) de que los ciberataques realizados tanto en Ucrania como en Rusia, lleguen a afectar diferentes sectores de alta importancia, donde uno de los principales objetivos podría concentrarse en la banca y organismos de símil operación. Este comportamiento, sumado a la presente situación de emergencia sanitaria y la priorización del trabajo remoto en el actual escenario nacional, se convierte en el espacio predilecto donde los ciberactores pueden desplegar sus diferentes técnicas de ataque, primando por sobre todo aquellas que involucran el reconocimiento de las superficies de exposición de sus posibles blancos. El volumen de amenazas detectadas y analizadas por actor malicioso, entrega una clara señal de las futuras operaciones que los grupos llevarán a cabo en territorio nacional, como lo son ataques con Ransomware y troyanos bancarios, combinados con potentes infraestructuras de botnets y malware diseñado a la medida de cada objetivo.
Telecomunicaciones & Tecnología Existen amenazas de han atacado estos sectores a nivel Latinoamericano, sin embargo no se tienen antecedentes de que se hayan materializado este tipo de ataques en el territorio nacional; razón por la cual no se descartan este tipo de ataques, pero si se consideran con una probabilidad baja de ocurrencia.
Petróleo y sus derivados Si bien existen amenazas o ataques que han sido detectados a nivel Americano, no se tienen antecedentes de este tipo de acciones en el territorio nacional, es por esto que, se estima con una probabilidad baja la ocurrencia de ataques a la infraestructura crítica de este tipo de industria.
Economía A raíz del presente conflicto actual entre Rusia y Ucrania, habrá consecuencias económicas tanto en el territorio internacional, como en el nacional, de acuerdo a lo informado por la canciller Carolina Valdivia, los productos más afectados serán el petróleo y el trigo y sus derivados respectivamente. Esto ya que Ucrania es uno de los grandes productores en estos productos. Respecto al alza que se produciría en el precio del petróleo, el Ministro de Hacienda Rodrigo Cerda, indica que podría generarse un ciclo de alzas de precios, de hasta 40 semanas, lo cual impactaría directamente en el precio de las bencinas en Chile, se estima un alza de hasta 250 pesos Chilenos por litro de bencina. Existe una baja relación comercial entre Chile, Rusia y Ucrania, lo cual no debe dejarnos tranquilos, ya que sin lugar a dudas este conflicto nos afectará, en especial en el precio del crudo. Esta alza que se estima en el precio del petróleo y sus derivados, traerá consigo una alza en prácticamente todos los productos que se comercializan a nivel nacional. La industria salmonera también está preocupada por este conflicto, ya que de acuerdo a lo que ellos indican “Hay posibilidad de que la cadena de suministro se interrumpa”, lo cual podría traer consigo una alza de los precios en estos productos. |