Ciber-espionaje Probablemente de Rusia se dirige al gobierno alemán

Ciber-espionaje Probablemente de Rusia se dirige al gobierno alemán

[ad_1]


Se dice que son un grupo de élite entre los piratas informáticos rusos, un poco más listos que los demás, más cautelosos, más pacientes, pero altamente peligrosos, como una serpiente venenosa. Las agencias de inteligencia alemanas aún no pueden decir cuándo el grupo conocido como "Serpiente" logró penetrar en la Academia Federal de Administración Pública en la ciudad de Brühl, justo al sur de Colonia. Debe haber sucedido a finales de 2016 a más tardar. Eso, después de todo, es cuán atrás pueden seguirse las pistas digitales.

Tampoco está claro cómo los piratas informáticos, que se cree que están conectados con la agencia de inteligencia nacional (FSB) de Rusia, violaron el sistema. Podría haberse colado a través de un enlace en un correo electrónico tentador al que un usuario despreocupado había hecho clic, o mediante visitas a sitios web falsos que activaron el malware.

Lo que está claro, sin embargo, es que después de que se infiltraron por primera vez en el sistema de Brühl, los hackers pudieron pasar por la Red de Información de la Administración Federal Alemana, o IVBB, que es utilizada por los principales órganos legislativos y gubernamentales. Finalmente alcanzaron su objetivo: el Departamento 2 del Ministerio de Asuntos Exteriores, la sección responsable de la política exterior alemana dentro de la Unión Europea y las relaciones de Alemania con los países de Europa, América del Norte y Asia Central, incluida Rusia.

El daño causado por el último hack contra el gobierno alemán parece ser limitado. Un total de 17 computadoras se vieron afectadas en el Ministerio de Asuntos Exteriores, y se estima que solo tres documentos fueron desviados, con un volumen de datos de 240 kilobytes. Pero eso es solo una evaluación inicial.

El gobierno alemán y los vigilantes de inteligencia del comité de control parlamentario están alarmados, no solo porque los piratas informáticos usaron la Academia de Administración Pública como puerta de entrada, una institución administrada por un ex jefe de la agencia de inteligencia nacional de Alemania. También les preocupa porque, al infiltrarse en el IVBB, han penetrado en una red que se pensaba que era altamente segura.

Preguntas embarazosas

El IVBB es un canal vital para la burocracia alemana. Vincula a los principales órganos del gobierno, incluida la Cancillería, los ministerios, las dos cámaras del parlamento alemán, así como a las misiones diplomáticas alemanas en el extranjero y todas las agencias de inteligencia federales. Los correos electrónicos, las llamadas telefónicas y las videollamadas se enrutan a través de la red junto con documentos con clasificaciones de seguridad hasta "clasificadas, solo para uso oficial". Solo los documentos altamente clasificados se envían a través de otros canales.

Tras la piratería del Bundestag, el parlamento de Alemania, en 2015 – en el que presuntos hackers rusos del grupo APT28 robaron 16 gigabytes de datos – la Oficina Federal de Seguridad de la Información (BSI) criticó la susceptibilidad del sistema del parlamento mientras al mismo tiempo elogiando el IVBB ostensiblemente seguro.

Ahora el BSI y otras agencias de inteligencia tienen que responder preguntas embarazosas sobre por qué son incapaces de proteger las redes de comunicación del gobierno alemán. Cuando un país es vulnerable en un área tan sensible, todo el sistema se vuelve inestable.

Además de las tareas obvias de hacer que su infraestructura de TI sea más segura lo más rápido posible y de determinar qué recursos técnicos y humanos requieren urgentemente inversiones, el gobierno alemán tiene que decidir cómo reaccionar a este ataque aparentemente patrocinado por el estado de Rusia. 19659012] Boletín internacional

Suscríbase a nuestro boletín de noticias y obtenga lo mejor de SPIEGEL en inglés enviado a su correo electrónico dos veces por semana.

La Fiscalía Federal inició una investigación preliminar sobre presunto espionaje. Esa es la respuesta legal. Pero, ¿qué hay de la reacción política? ¿Y cómo se está armando Alemania contra el ejército digital del este que está operando con una competencia estratégica y tecnológica cada vez mayor?

Los hackers de Snake han demostrado sin lugar a dudas que son enemigos formidables. Se cree que han penetrado embajadas, organizaciones internacionales, contratistas de defensa, gobiernos y agencias de inteligencia en todo el mundo. El grupo incluso atacó el Comando Central de los EE. UU.

'En una escala internacional'

Los expertos en seguridad dicen que el código de programación es significativamente más avanzado que otras supuestas campañas cibernéticas rusas como APT28 y APT29, mejor conocidas como "Fancy Bear" y "Cozy Bear".

Funcionarios de inteligencia estonios afirman haber encontrado conexiones entre Snake y el FSB de Rusia, y muchos expertos de la comunidad cibernética están de acuerdo. Asimismo, el grupo podría estar afiliado a una masiva campaña de piratería en todo el mundo, llamada "Octubre Rojo", contra diplomáticos, oficiales militares e investigadores nucleares.

La agencia de inteligencia nacional de Alemania, la Oficina Federal para la Protección de la Constitución (BfV), advirtió a las compañías de defensa alemanas en mayo de 2016 que podrían ser blanco de la campaña de ciberataque lanzada por Snake. BfV indicó que se trataba de una "operación de ciberespionaje de alcance y calidad excepcionales, ejecutada sistemáticamente durante un largo período de tiempo a escala internacional".

Incluso entonces, los oficiales de inteligencia alemanes sospecharon que se trataba de un "ataque coordinado por el estado". El malware utilizado era "altamente avanzado y complejo". Como evidencia de que los hackers vinieron de Rusia, BfV apuntó a la configuración de idioma "código 1251", que permite mostrar los caracteres cirílicos. Además, hubo un aumento notable en la actividad durante el horario normal de oficina en Moscú y San Petersburgo.


 Un parlamentario alemán se dirige a una reunión para discutir el ataque de los piratas informáticos de 2015 contra el Bundestag.


KAY NIETFELD / DPA

Un parlamentario alemán encabeza una reunión para discutir el ataque de los hackers de 2015 contra el Bundestag.

Expertos en seguridad de TI alemanes denominaron a la campaña de ataque cibernético "Uroburos", por el antiguo símbolo griego de una serpiente que se está comiendo su propia cola. Esto se debió a que el código fuente del malware contenía la cadena UrObUr () s.

Una agencia asociada extranjera trajo el ataque IVBB a la atención de los alemanes el 19 de diciembre del año pasado. El 5 de enero, la BSI descubrió la brecha en la Academia en Brühl. Desde entonces, la agencia de seguridad ha permitido subrepticiamente que los ataques continúen en un intento por identificar a los perpetradores y conocer sus métodos. Para hacerlo, los expertos de BSI aislaron, reflejaron y simularon la comunicación de las computadoras comprometidas para que los atacantes tuvieran la impresión de que todo seguía avanzando según lo previsto. No podrían causar más daños de todos modos.

En el ciberespacio es virtualmente imposible encontrar evidencia incontrovertible de quién está detrás de un ataque. El código de programación plantado puede llevar una determinada firma, como una marca de tiempo que indica horas de oficina, o ciertas ortografías y errores tipográficos.

de origen ruso

Otras pistas incluyen los servidores que reciben los datos robados. Estos servidores frecuentemente pertenecen a instituciones como universidades que también fueron pirateadas sin su conocimiento. A veces los hackers usan estos servidores repetidamente, lo que crea una infraestructura reconocible. Los investigadores cibernéticos pueden compilar un perfil de ataque. ¿Quién podría beneficiarse del ataque? ¿Es posible que un estado esté detrás de esto?

Los culpables raramente revelan directamente sus identidades, pero esto es precisamente lo que sucedió con APT28. Los expertos en TI pudieron ver cómo los archivos filtrados fueron enviados inadvertidamente a un servidor en un complejo de oficinas de Moscú que alberga la agencia de inteligencia militar extranjera, GRU.

Pero los rastros en el código también pueden ser manipulados. Typos se puede introducir a propósito y los componentes de software se pueden compilar deliberadamente en ciertos momentos del día para dar la impresión errónea de que los perpetradores se encuentran en un determinado país. Tales maniobras engañosas se conocen como operaciones de "bandera falsa".

En los últimos meses, sin embargo, ha habido señales crecientes de que muchos de los ataques de piratas informáticos contra compañías occidentales y autoridades gubernamentales son de origen ruso. Rusia se ha convertido en una potencia digital agresiva que está haciendo todo lo posible para librar una guerra cibernética.


 El Ministerio de Asuntos Exteriores alemán en Berlín


DPA

El Ministerio de Asuntos Exteriores alemán en Berlín

Twitter, por ejemplo, recientemente emitió advertencias a más de 1,4 millones de sus usuarios que seguían una cuenta de trol rusa recién identificada y , en algunos casos, retweeting sus mensajes. Asimismo, la plataforma de redes sociales le dio al Congreso de EE. UU. Una lista de más de 3.800 cuentas de usuario que, de acuerdo con investigaciones internas, estaban asociadas con la notoria Agencia de Investigación de Internet de Rusia (IRA) y ahora han sido suspendidas, junto con más de 200.000 de propaganda borrada tweets

La acusación emitida por el abogado especial de Estados Unidos Robert Mueller, que investiga la intromisión rusa en las elecciones presidenciales de 2016, cita al IRA como la principal organización rusa responsable de la campaña cibernética y ha acusado a 13 operadores rusos en absentia de interferir en las elecciones . "Estados Unidos está bajo ataque", dijo el director de Inteligencia Nacional, Dan Coats, al Comité de Inteligencia del Senado, y agregó que "no debería haber dudas de que Rusia considera que sus esfuerzos pasados ​​fueron exitosos y ve las elecciones de mitad de mandato de los Estados Unidos en 2018 como un objetivo potencial".

Al menos son tan alarmantes las actividades que no se dirigen a la opinión pública, sino que buscan dañar a las empresas, las cadenas de suministro y la infraestructura. Aunque el público en general pasó inadvertido, las agencias de inteligencia occidentales han calificado recientemente a Rusia como el arquitecto de uno de los ciberataques más destructivos de la historia.

Pure Destruction

En junio del año pasado, un devastador ataque de malware estalló en Ucrania y se propagó con una velocidad explosiva, encriptando computadoras y volviéndolas inutilizables. A diferencia de muchos ataques de ransomware similares, las computadoras no podían volver a funcionar normalmente incluso después de que se realizaran los pagos en la criptomoneda Bitcoin. Los perpetradores obviamente buscaban causar destrucción pura.

El ataque, conocido como NotPetya, golpeó a grandes compañías como el gigante de envíos Maersk, el gigante logístico TNT, la compañía farmacéutica Merck, el fabricante alemán Nivea Beiersdorf y la corporación de alimentos Mondelez (que fabrica "Milka " chocolate). Maersk solo estima que ha sufrido daños de varios cientos de millones de euros; Beiersdorf dice que ha sufrido pérdidas hasta el momento de 35 millones de euros.

A mediados de febrero, el gobierno británico emitió una declaración pública inusualmente ampollada denunciando al ejército ruso por el "destructivo ciberataque NotPetya". Anteriormente, la CIA había concluido con "alta confianza" que el servicio de inteligencia militar extranjero ruso GRU había desarrollado el malware.

Los gobiernos occidentales apuntan con el dedo claramente a Moscú en gran parte porque sus agencias de inteligencia han logrado reunir información precisa sobre los grupos hackers rusos.

Un golpe particularmente espectacular ha sido atribuido a la agencia de inteligencia holandesa AIVD. En 2014, sus hackers de élite penetraron sistemas informáticos dudosos en Moscú que se encontraban dentro de un edificio universitario cerca de la Plaza Roja, según un artículo publicado por el periódico holandés de Volkskrant a finales de enero. Los holandeses aparentemente habían pirateado con éxito una unidad conocida como Cozy Bear, o APT29. La unidad ha estado activa durante muchos años y se sabe que estuvo detrás de varias operaciones de hacking de alto perfil.

Según los informes, los agentes incluso pudieron infiltrarse en las cámaras de vigilancia, lo que les permitió comparar las caras de los piratas informáticos con el ruso identificado previamente. operativos de inteligencia. También pudieron determinar que el equipo trabajó en turnos de aproximadamente 10 personas por equipo. Al parecer, los holandeses pudieron observar cómo los rusos se preparaban para la campaña electoral de Estados Unidos pirateando el servidor de correo electrónico del Comité Nacional Demócrata.

Las agencias de inteligencia estadounidenses revelaron en 2014 que un "aliado occidental" había ayudado a evitar un ciberataque a gran escala en el Departamento de Estado de los Estados Unidos. La referencia era probable para la AIVD, con sus recursos humanos y financieros comparativamente modestos. El jefe de la agencia holandesa, Rob Bertholee, dijo a la televisión holandesa que no tenía dudas de que el Kremlin había orquestado el ciberataque.

'Espionaje convencional'

Alemania, al parecer, se ha salvado de tales ataques en los últimos meses. Contrariamente a las expectativas, los documentos robados del Bundestag en 2015 no aparecieron en ninguna plataforma de denuncias. Durante la campaña de las elecciones generales alemanas, ninguna manipulación fue aparente, aunque todas las agencias gubernamentales habían emitido advertencias antes de la votación.

Aún así, las autoridades alemanas serían mejor aconsejadas para no bajar la guardia, como muestra el caso de Snake. Sin embargo, parece ser un caso de "espionaje convencional", al menos según el experto en inteligencia ruso Andrei Soldatov: "Una cosa es cuando la información se recopila en segundo plano, y otra cuando esta información se hace pública, por ejemplo, a través de WikiLeaks "

Pero el grupo de hackers APT28 también ha atacado repetidamente objetivos en Alemania en los últimos meses. Según fuentes de inteligencia, por ejemplo, el sistema informático del Comité Paralímpico Internacional con sede en Bonn fue pirateado. Los culpables no tuvieron ningún problema para obtener acceso: cargaron el malware en el teléfono inteligente Android de uno de los delegados del comité mientras se encontraba en un hotel de Moscú. Los hackers simplemente usaron el WiFi del hotel. Se cree que los operarios de un servicio de inteligencia ruso se quedaron en el hotel al mismo tiempo, posiblemente otra indicación más de la participación del estado ruso en los ataques de hackers dirigidos.

Uno solo puede especular sobre por qué los rusos podrían estar interesados ​​en los Juegos Paralímpicos. Es posible que estuvieran buscando acceso a los servidores del Comité Olímpico Internacional, una organización que ha estado estrechamente involucrada en la nivelación de las denuncias de dopaje contra los atletas rusos.

Los funcionarios también descubrieron un ataque en Berlín que comenzó en diciembre de 2016, cuando los hackers aparentemente se infiltraron en el Instituto Alemán de Asuntos Internacionales y de Seguridad. El think tank es una de las instituciones de investigación alemanas más influyentes en cuestiones de política exterior y de seguridad, y asesora tanto al Bundestag como al gobierno alemán. Según los círculos de inteligencia, APT28 probablemente estaba detrás del ataque.

Los representantes de las agencias de inteligencia y los políticos han exigido durante bastante tiempo que se tomen represalias contra los ataques con contramedidas decisivas, conocidas como hack-backs. Armin Schuster, el responsable de la política interna en el parlamento de los Demócratas Cristianos de la Canciller Merkel, quisiera que Alemania adopte un enfoque más proactivo a la ciberdefensa. "No podemos simplemente construir vallas", dice, "también necesitamos la capacidad de penetrar en las redes de los atacantes, borrar los documentos robados y, en casos extremos, incluso tomar el control de los servidores o paralizarlos". Pero Sven Herpig de la Stiftung Neue Verantwortung, un grupo de expertos independiente en Berlín, advierte que esto podría desencadenar una espiral de escalada.

Antagonizando a los alemanes

Expertos de Internet como Anke Domscheit-Berg, miembro del parlamento del Partido de extrema izquierda, incluso llegan a decir que las agencias alemanas como la nueva Oficina Central de Tecnología de la Información en el Sector de Seguridad (ZITiS) pueden ser en parte para culpar por el último repunte de los ciberataques. ZITiS tiene la tarea de hacer posible que las agencias de inteligencia descifren las comunicaciones encriptadas. Para hacerlo, debe identificar las vulnerabilidades del software por su cuenta o comprar dicha información desde otro lugar. Pero Domscheit-Berg considera que es deber del gobierno cerrar estas brechas de seguridad lo más rápido posible. Del mismo modo, el portavoz de política nacional del grupo parlamentario de los socialdemócratas de centro-izquierda (SPD), Burkhard Lischka, dice que el gobierno alemán debería centrarse primero en hacer su propia red más segura. Él dice que hay claramente vulnerabilidades en el sistema que las agencias de seguridad como la BSI no han podido reconocer.

En el frente político, los ataques de hackers revelan hasta qué punto las relaciones germano-rusas han sufrido en los últimos años. Ambas partes se miran con recelo y desconfianza, y el presidente ruso, Vladimir Putin, parece no tener más reparos en enemistarse con los alemanes.

Un rayo de esperanza es que Moscú y Berlín al menos siguen hablando. El año pasado, se informó que Merkel advirtió a Putin que habría consecuencias si Rusia interfería con las elecciones generales alemanas. Después, evidentemente, no hubo intentos de manipulación, pero los ataques de los hackers continuaron silenciosamente en segundo plano.

Hasta ahora, el gobierno alemán no ha tomado medidas más duras. Ningún embajador ha sido convocado; no se han impuesto sanciones contra Rusia por participar en ciberataques.

Esa restricción, sin embargo, podría simplemente ser un reflejo del hecho de que el espionaje es simplemente parte de la realidad cotidiana, incluso para países democráticos como Alemania. La agencia de inteligencia extranjera de Alemania (BND), después de todo, también tiene objetivos rusos en su punto de mira.


Maik Baumgärtner, Patrick Beuth, Jörg Diehl, Christian Esch, Matthias Gebauer, Konstantin von Hammerstein, Martin Knobbe, Sven Röbel, Marcel Rosenbach, Raniah Salloum, Fidelius Schmid y Wolf Wiedmann-Schmidt

[ad_2]

Share this post