El FBI anunció este martes que había desarticulado un grupo de ciberespionaje ruso que supuestamente liberó un sofisticado programa malicioso, conocido como Snake, en redes informáticas de todo el mundo.
El Político
La agencia atribuyó el malware a Turla, una unidad de piratería informática del Servicio Federal de Seguridad de Rusia (FSB).
Durante casi 20 años, Turla utilizó el malware para robar información sensible de cientos de ordenadores de al menos 50 países, entre ellos miembros de la OTAN.
Altos cargos de las fuerzas del orden afirmaron que los expertos técnicos del FBI habían identificado y desactivado el software malicioso esgrimido por el servicio de seguridad ruso FSB contra un número no revelado de ordenadores estadounidenses.
Se trata de una maniobra con la que esperaban asestar un golpe mortal a uno de los principales programas de ciberespionaje de Rusia.
"Consideramos que se trata de su principal herramienta de espionaje", declaró a los periodistas uno de los funcionarios estadounidenses antes de la publicación.
Dijo que Washington esperaba que la operación lo "erradicara del campo de batalla virtual".
Panorama general
La operación -cuyo nombre en clave es "MEDUSA"- tenía por objeto neutralizar el malware denominado "Snake" utilizado por una unidad del FSB ruso conocida como "Turla", que los expertos consideran uno de los grupos de ciberespionaje más sofisticados del mundo, reportó ABCNews.
El grupo Turla utilizó el malware para atacar a Estados miembros de la OTAN, sectores financieros, periodistas y otros objetivos del gobierno ruso desde 2004, según las autoridades.
Siguiendo con la mitología griega, el FBI ha creado recientemente una herramienta denominada "PERSEUS" para neutralizar eficazmente el malware Snake, tras recibir la autorización de un juez de Brooklyn para asegurar el acceso remoto a los ordenadores infectados.
El FBI dice que ha notificado a todas las víctimas a cuyos sistemas informáticos se accedió como parte de la operación MEDUSA.
Además, EEUU y sus socios de los Cinco Ojos han emitido un aviso conjunto de ciberseguridad con información técnica detallada sobre el malware para que los expertos en ciberseguridad puedan detectar si otras redes pueden haber sido infectadas.
No obstante, existe un riesgo permanente para algunos de los afectados, según las autoridades, ya que se sabe que, tras acceder a las redes, el grupo Turla utiliza una herramienta de "keylogger" que roba las contraseñas de las cuentas y otras credenciales de autenticación.
Yesterday, the #FBI led a multiagency, global disruption against Snake malware, considered the most sophisticated cyberespionage tool designed by the Russian FSB. How did we do it? Strong partnerships were the key. Read more: https://t.co/SCObI4uwp1 pic.twitter.com/MTsG3YhzBM
— FBI (@FBI) May 9, 2023
En contexto
Una investigación realizada en 2022 por la emisora pública alemana Bayerische Rundfunk rastreó algunas operaciones de Turla hasta una empresa relacionada con el FSB en la ciudad rusa de Ryazan, a unos 120 kilómetros al sureste de Moscú.
El aviso de Estados Unidos y sus aliados confirmó que las operaciones diarias de pirateo informático de Turla se producen en unas instalaciones del FSB en Riazán.
Mientras el FBI promocionaba la acción como un ejemplo más de su estrategia para proteger a las víctimas del pirateo informático, Guerrero-Saade se preguntaba qué visibilidad podría haber perdido el FBI en las operaciones de Turla al exponer la red de ordenadores pirateados.
"El FBI tiene un martillo y ha decidido que esto es un clavo más", dijo Guerrero-Saade. "Y no creo que las operaciones de espionaje deban tratarse de la misma manera que las operaciones delictivas".
¿Qué dijo el Fiscal General Merrick Garland?
"El Departamento de Justicia, junto con nuestros socios internacionales, ha desmantelado una red mundial de ordenadores infectados con malware que el gobierno ruso ha utilizado durante casi dos décadas para llevar a cabo ciberespionaje, incluso contra nuestros aliados de la OTAN", dijo el Fiscal General Merrick Garland en un comunicado.
El Departamento de Justicia dijo que había obtenido una orden de registro de un tribunal estadounidense que le autorizaba a acceder remotamente a los ordenadores comprometidos y desactivar el malware.
El FBI dijo que planea notificar a todos los propietarios y operadores de los ordenadores comprometidos.
El malware Snake fue evaluado previamente por la comunidad de inteligencia estadounidense como "uno de los conjuntos de malware más sofisticados utilizados por los servicios de inteligencia rusos" para atacar ministerios de asuntos exteriores y ministerios de defensa de países aliados de la OTAN, añadieron las autoridades.
Es la última vez que el Departamento de Justicia desmantela un grupo de ciberdelincuentes.
En enero, el departamento anunció que había desmantelado un grupo internacional de ransomware responsable de extorsionar con más de 100 millones de dólares a organizaciones con sede en Estados Unidos y en todo el mundo.
El grupo de ransomware, conocido como Hive, había atacado a más de 1.500 víctimas en todo el mundo, incluidos sectores críticos como hospitales y escuelas.
En conclusión
En los últimos años, se ha observado a los piratas informáticos introducirse en las redes de ministerios de asuntos exteriores y parlamentos de Europa del Este para recabar información sobre adversarios rusos.
El grupo ruso también ha explotado el trabajo de otras agencias de espionaje. En 2018, Turla secuestró una herramienta de hacking iraní para acceder a la red de un gobierno de Oriente Medio no identificado, según los investigadores.
Los operativos de Turla son "auténticos profesionales", dijo a CNN Juan Andrés Guerrero-Saade, un investigador que ha rastreado a Turla durante años.
"No van por ahí rompiendo cosas ni llamando la atención de forma estúpida", afirma Guerrero-Saade, director de SentinelLabs, la rama de investigación de la empresa de seguridad SentinelOne. Según Guerrero-Saade, eso es "lo que cabría esperar de la GRU", en referencia a la agencia de inteligencia militar rusa, cuyos hackers suelen ser más llamativos. "Eso no se ve en Turla".
La reputación de Turla como uno de los principales equipos de piratas informáticos del Kremlin ha inspirado a investigadores privados y periodistas a seguir la pista de los hackers.
Por su parte, el software PERSEUS "establece sesiones de comunicación con el implante del malware Snake en un ordenador concreto y emite comandos que hacen que el implante Snake se desactive a sí mismo sin afectar al ordenador anfitrión ni a las aplicaciones legítimas del ordenador", según el DOJ.
