WhisperGate

Un ciberataque quirúrgico contra Ucrania

El pasado 14 de enero de 2022, en plena escalada de tensión con el Gobierno ruso, las autoridades de Kiev hacían público que más de 70 de sus organizaciones nacionales se habían visto comprometidas frente a un nuevo ciberataque supuestamente proveniente de Rusia y para el que se habría conocido el malware WhisperGate. A diferencia de ataques anteriores, en muchos casos masivos, todo apunta a que en este caso la herramienta fue diseñada a medida contra Ucrania.

Concretamente, el malware responsable del ciberataque, denominado posteriormente como WhisperGate, apareció según Microsoft por primera vez en los sistemas ucranianos el día 13 de enero de 2022[1] (Microsoft, 2022). No obstante, apenas horas después del ciberataque, tanto el Servicio de Seguridad de Ucrania (SBU) como el Centro de Comunicaciones Estratégicas y Seguridad Informática ucraniano advertían en un comunicado de la existencia de signos de implicación por parte de grupos de piratas informáticos asociados a los servicios secretos rusos en el incidente y hablaban de la «huella» rusa en el ataque informático.

Si bien podría parecernos precipitada la rápida adjudicación de la autoría a Rusia por parte del Gobierno ucraniano[2], lo cierto es que; por un lado, el mensaje “tengan miedo y esperen lo peor” que se mostraba al ejecutarse el malware en pleno auge de una amenaza de invasión rusa a ucrania; y por otro, el hecho de que no sea la primera vez que las infraestructuras estatales ucranianas se hayan visto asediadas por ataques presuntamente provenientes de Rusia, parecen ser motivos suficientes para al menos sospechar que el Kremlin podría estar detrás del ataque.

No podemos olvidar que Ucrania ha sido uno de los campos de prueba predilectos para los cibercriminales en los últimos años. En 2014 en el marco de la escalada de tensión respecto a Crimea, el SBU denunció que soldados rusos tomaron el control de las telecomunicaciones, interviniendo los equipos y teléfonos de miembros del Gobierno y del parlamento ucraniano para interferir así en los comicios electorales que se estaban realizando; en los inviernos de los años 2015 y 2016 Ucrania padeció la paralización de una parte importante de su red eléctrica; y en 2017 experimentó uno de los ataques más sofisticados de los últimos tiempos: el ataque de NotPetya.

Pantalla de bloqueo del ordenador de la víctima de WhisperGate. Fuente: (Avertium, 2022).

WhisperGate: un ciberataque diseñado a medida

Especialmente, la similitud de WhisperGate con NotPetya o con el reciente ciberataque a la empresa SolarWinds –adjudicados por los actores estatales occidentales de forma relativamente contrastada a Rusia– es uno de los motivos por los que Ucrania apunta a Moscú.

En primer lugar, tanto en el ataque a SolarWinds como en WhisperGate, los piratas hackearon la infraestructura de una empresa comercial externa que tenía acceso a los derechos para administrar los recursos web afectados (cadena de suministro) para acceder a través de una puerta trasera a los dispositivos de la víctima. O, dicho de otro modo, en relación al modo de despliegue del malware utilizado por el atacante ambos ciberataques comparten ciertas similitudes.[3]

Además, el hecho de acceder al sistema infectado mediante la utilización de credenciales robadas nos sugiere una alta probabilidad de que los atacantes tuviesen acceso a la red desde meses antes de la implementación total del malware, lo cual nos confirma la existencia tras el ataque de Amenaza Persistente Avanzada (ATP)[4].

En segundo lugar, si bien WhisperGate y NotPetya no resultan ser completamente idénticos en el aspecto técnico del malware, también es cierto que comparten importantes similitudes.

Desde el año 2017, distintos expertos han venido afirmando no solamente que el malware NotPetya ha sido uno de los más dañinos de los que se tiene registros, (causando más de 10.000 millones de dólares en daños), sino también que, pese a afectar a prácticamente las redes de todo el mundo, NotPetya estaba especialmente pensado y dirigido para afectar a Ucrania (O’Neill, 2022).

En este sentido, tanto Microsoft como la división de servicios técnicos de Amazon concluyeron que, es poco probable que los responsables de NotPetya tuviesen como objetivo el impacto global que lograron, sino que, en un primer momento, el malware iba dirigido a empresas privadas ucranianas y pretendía tener un impacto significativo en este país, ya que, aunque NotPetya se disfrazaba inicialmente como un ransomware, en realidad el malware tenía como objetivo real dejar inoperable los sistemas informáticos infectados, es decir, no iba orientado totalmente a la obtención de un lucro económico a través de la exigencia de un pago monetario a modo de rescate.

Precisamente, esta característica es común a WhisperGate, pues al igual que ocurrió con NotPetya, pese a pedir un rescate monetario, el ciberataque del pasado 13 de enero de 2022 tenía como finalidad real la destrucción de los datos, tal y como indica el hecho de que, el malware destruya el registro de arranque maestro (MBR) en lugar de encriptarlo[5] –es decir, de que borre la partición del disco duro responsable de la iniciación del sistema[6].

Sin embargo, pese a que el ataque WhisperGate y NotPetya comparten ciertas similitudes también tienen dos diferencias significativas: por un lado, WhisperGate no posee un mecanismo de propagación basado ​​en SMB[7] que le permita una propagación acelerada y masiva; y por otro, en comparación WhisperGate también resulta menos sofisticado técnicamente.

De estas diferencias se deduce una conclusión fundamental: Ucrania era el objetivo único y exclusivo de la acción, pues en contraste con NotPetya que infectó indiscriminadamente, los responsables tras WhisperGate diseñaron el malware deliberadamente dirigido y acotado contra unos objetivos ucranianos concretos. Concretamente, su diseño trata de reducir al máximo la posibilidad de que el malware llegase a afectar a organizaciones exógenas a Ucrania, al limitar su alcance a la infección de organizaciones que de un modo u otro se relacionan con los proveedores de servicios informáticos ucranianos y que tienen acceso lógico a las redes (Secureworks, 2022).

Si al estudio técnico del malware (diseñado para actuar sobre Ucrania) sumamos el incremento de las tensiones geopolíticas entre Ucrania y Rusia y el eco de los tambores de guerra que venimos escuchando desde el pasado invierno resulta obvio valorar positivamente la atribución a Rusia realizada por el Gobierno de Kiev.

Igualmente, en este sentido, parece plausible pensar que, si bien los responsables de la creación de WhisperGate perseguían dañar a Ucrania en plena escalada de tensión militar con Rusia, también es cierto que, la acción ha sido expresamente calculada para no involucrar excesivamente a terceros actores en un escenario geopolítico altamente sensible a la escalada. 

Sin duda, el Kremlin ha utilizado este ciberataque para lograr un efecto estratégico en las tensiones con Ucrania, consiguiendo dañar no solamente las infraestructuras tecnológicas de Kiev, sino también atacando al plano psicológico que comprende la conciencia de los individuos –recuerden la frase “tengan miedo y esperen lo peor” dirigida a unos ciudadanos ucranianos ansiosos ante la posibilidad de una guerra abierta con Rusia.

Sin embargo, pese a que las evidencias sugieren que el malware puede ser de manufactura rusa, también es cierto que, no hay ninguna prueba que establezca una relación inequívoca entre la ATP responsable de su creación[8] y el Gobierno del Kremlin.

Una vez más, este tipo de actores proxies ha servido a Rusia para ejecutar una acción ofensiva en el ciberespacio desde un posicionamiento de negación al reconocimiento de su autoría, tal y como ya empleó en Estonia en el año 2007, en Georgia en 2008 durante el conflicto entre Moscú y Tibilisi por Osetia del Sur, o en la propia Ucrania en años anteriores. 

Todo ello nos lleva a plantearnos que, quizás la reflexión a extraer del presente Focus sea cuestionarnos, por un lado, hasta cuándo permitirán los enemigos de Rusia al Kremlin seguir “jugando” de esta forma tan ofensiva en el ciberespacio, y por otro, cuándo dejará de ser efectivo el ocultar acciones punitivas estatales tras distintas ATP con el objetivo de evitar escaladas de tensión bajo una política de negación de la autoría.

Obviamente, las características propias del ciberespacio (la dificultad que entraña el individualizar la autoría, la diversidad de adversarios existentes y la falta de una regulación internacional) propicia que la amenaza de Rusia en el ciberespacio se ajuste a la perfección de la definición de “acción no convencional”  (Arteaga, 2019); ante ello, preguntarnos qué se podría hacer para que Rusia abandone su actitud beligerante en el ciberespacio ha de ser la siguiente pregunta que debemos plantear.

Simplificando la respuesta existen dos visiones para abordar dicha cuestión: por un lado, la que aporta la perspectiva institucionalista de las relaciones internacionales, según la cual la imposición de sanciones punitivas provenientes de la aplicación del derecho internacional sería capaz por sí misma de persuadir a Rusia; y por otro, las soluciones que ofrece la visión más realista, basada en la disuasión y la ofensiva.

Mensaje de la pantalla de rescate de WhisperGate: Fuente: (Falcone, Harbison & Grunzweig, 2022).

Disuadiendo a Rusia en el ciberespacio

En lo que respecta al posicionamiento defensivo de la disuasión la respuesta es clara, los estados enfrentados con Rusia deben evitar las acciones ofensivas rusas tratando de convencer al Kremlin de que existe la posibilidad de que una de sus acciones pueda desencadenar una respuesta cuyo  costo superará el beneficio esperado (Nye, 2020).

En cuanto a la ofensiva, los estados afectados por la amenaza rusa pueden recurrir también a potenciar su capacidad de ataque en el ciberespacio (offensive cyber capabilities, OCC), respondiendo a los ataques rusos mediante la interrupción de la agresión y el despliegue de determinadas contraofensivas basadas en la recopilación de información del atacante, la adjudicación de la autoría y la destrucción de sus redes y equipos (Hoffman & Levité, 2017).

La respuesta a la pregunta planteada bajo nuestro punto de vista ha de ser la aplicación conjunta de ambas perspectivas, defendiendo la legalidad del derecho internacional en el ámbito internacional, pero a la par reforzando las capacidades defensivas y ofensivas de los estados objetivo de las ATP rusas.

Bibliografía

  • Damballa, (2010). Advanced Persistent Threats. Atlanta, GA.

Notas

[1]  El componente de instalación del gestor de arranque del malware contiene un hash (SHA256) con una marca de tiempo de compilación con fecha 10-01-2022 10:37:18 UTC. (Crowdstrike, 2022)

[2] Recordemos que, para los estados, el problema de la atribución es uno de los principales escollos actualmente de cara a proporcionar una respuesta a un ciberataque, dada la cantidad y diversidad de posibles actores potencialmente hostiles y a la dificultad técnica que entraña la atribución e individualización a un único actor de la responsabilidad.

[3] Es preciso ser cautos de momento con esta información, pues hasta el momento, pese a que la evidencia sugiere que WhisperGate afectó a la cadena de suministro del proveedor de servicios, los detalles siguen siendo limitados.

[4] Entidades comprometidas a realizar actividades prolongadas y subvertidas orientadas a la ciberdelincuencia y el ciberespionaje que no se centran únicamente en la obtención inmediata de un rédito económico, sino que actúan de forma continuada monitorizando del sistema infectado con vistas a realizar ataques de mayor envergadura por motivos políticos (Damballa, 2010).

[5] Whispergate actúa en dos etapas, en un primer momento mediante su disfraz de ransomware se ejecuta a través de Impacket, sobrescribiendo el MBR (Registro de arranque maestro-Master Boot Record) e incluye una nota solicitando un rescate de 10.000$ en Bitcoin a cambio de supuestamente desencriptar los archivos. No obstante, cuando el usuario apaga el sistema se termina desencadenando una segunda etapa (stage2.exe) en la que se compromete el MBR cargando un corruptor de archivos que sobrescribe los archivos afectados con datos estáticos haciendo imposible la desencriptación y recuperación de los mismos (CrowdStrike, 2022).

[6] Este tipo de malware orientado hacia la destrucción de sistemas y/o datos, generalmente causando un gran daño financiero y reputacional son conocidos como “Whiper” o “limpiaparabrias”, y suelen ser empleados generalmente bajo patrocinio de potencias estatales en casos de tensiones geopolíticas con el objetivo de alcanzar un interés político concreto o simplemente como forma de disuasión.  

[7] SMB es un protocolo de red que permite compartir archivos, discos, directorios, impresoras, puertos y mail slots, a través de una red que utiliza Windows.

[8] De momento, este mérito se le adjudica a la ATP denominada  DEV-0586.

Autor

  • Josue Expósito

    Josué Exposito Guisado. Guardia civil. Doctorando en Estudios Estratégicos. Graduado en Ciencias Políticas y de la Administración por la Universidad Pablo de Olavide (Sevilla).

Be the first to comment

Leave a Reply