Google alerta de un aumento de ciberataques en Ucrania procedentes de Rusia, Bielorrusia y China

«La seguridad 'on line' es extremadamente importante para las personas en Ucrania y la región circundante en este momento. Las agencias gubernamentales, los periódicos independientes y los proveedores de servicios públicos la necesitan para funcionar y las personas necesitan comunicarse de manera segura», comienza el informe firmado por Shane Huntley, especialista del TAG.

Huntley añade que el nuevo análisis «continúa nuestros esfuerzos de larga duración para tomar medidas contra las amenazas en esta región». Y añade: «En los últimos doce meses, TAG ha emitido cientos de advertencias de ataques respaldados por el gobierno a los usuarios ucranianos, alertándoles de que han sido objeto de piratería respaldada por el gobierno, en gran parte proveniente de Rusia».

Pero el especialista estrecha más el cerco temporal, para centrar el análisis en el inicio de la invasión rusa. «Durante las últimas dos semanas -sigue el informe-, TAG ha observado actividad de una variedad de amenazas que monitoreamos regularmente y que son bien conocidas por las fuerzas del orden, incluidos FancyBear y Ghostwriter. Esta actividad va desde el espionaje hasta campañas de 'phishing' (suplantación de identidad)».

Acto seguido, Huntley añade que desde el centro especializado de Google han decidido compartir su informe «para ayudar a crear conciencia entre la comunidad de seguridad y los usuarios de alto riesgo». De este modo, el estudio del TAG pasa a detallar algunas de las amenazas más activas en estas últimas dos semanas. Serían las siguientes:

FancyBear/APT28. Esta amenaza «atribuida al GRU Ruso» (el Departamento Central de Inteligencia del Gobierno Ruso) «ha llevado a cabo varias grandes campañas de 'phishing' (suplantación de identidad) dirigidas a los usuarios de ukr.net», alerta el informe en relación con los usuarios de este grupo de comunicación ucraniano. «Los correos electrónicos de 'phishing' se envían desde una gran cantidad de cuentas comprometidas (que no son de Gmail/Google) e incluyen enlaces a dominios controlados por atacantes».

«En dos campañas recientes, los atacantes utilizaron dominios de Blogspot recién creados (...) que luego redirigieron a los objetivos a páginas de 'phishing'. Todos los dominios conocidos de Blogspot controlados por atacantes han sido eliminados», añade el análisis.

Ghostwriter/UNC1151. Identificado por el TAG de Google como una amenaza bielorrusa, que «ha llevado a cabo campañas de 'phishing' durante la semana pasada contra organizaciones gubernamentales y militares de Polonia y Ucrania». Huntley detalla que el TAG «también ha identificado campañas dirigidas a usuarios de correo web de los siguientes proveedores: i.ua, meta.ua, rambler.ru, ukr.net, wp.pl y yandex.ru». Además, Google Safe Browsing, «un servicio que identifica sitios web no seguros en la web y notifica a los usuarios y propietarios de sitios web sobre posibles daños», ha bloqueado diversos dominios de 'pishing' vinculados a este ciberataque.

Mustang Panda o Temp.Hex. Con sede en China, este ataque «apuntó a entidades europeas con señuelos relacionados con la invasión de Ucrania», según el informe. «TAG identificó archivos adjuntos maliciosos con nombres como 'Situación en las fronteras de la UE con Ucrania.zip'. El archivo zip contiene un ejecutable del mismo nombre que es un descargador básico y, cuando se ejecuta, descarga varios archivos adicionales». En este sentido, Huntley añade que la dirección de los ataques hacia autoridades europeas «ha representado un cambio con respecto a los objetivos del sudeste asiático observados regularmente por Mustang Panda».

Ataques DDoS. Con estas siglas se conoce a los ataques que buscan colapsar los servidores de un servicio hasta hacerlo inaccesible para sus usuarios. Twitter, Spotify o Netflix han sufrido estas acciones en los últimos meses. «Continuamos viendo intentos de DDoS contra numerosos sitios de Ucrania, incluido el Ministerio de Asuntos Exteriores, el Ministerio del Interior, así como servicios como Liveuamap que están diseñados para ayudar a las personas a encontrar información», denuncia el informe del especialista del TAG de Google.

Además, Huntley avanza que la compañía acaba de ampliar el radio de acción de Project Shield, la protección gratuita de Google contra ataques DDoS, «para que los sitios web del gobierno ucraniano, las embajadas en todo el mundo y otros gobiernos cercanos al conflicto puedan permanecer en línea, protegerse y continuar ofreciendo sus servicios cruciales y garantizar el acceso a la información que la gente necesita».

Explica Huntley que este servicio «permite a Google absorber el tráfico malicioso en un ataque DDoS y actuar como un 'escudo' para los sitios web, permitiéndoles continuar operando y defendiéndose contra estos ataques. A día de hoy, más de 150 sitios web en Ucrania, incluidas muchas organizaciones de noticias, utilizan el servicio», detalla el especialista.

«Continuaremos tomando medidas, identificando los actores maliciosos y compartiendo información relevante con la industria y los gobiernos, con el objetivo de generar conciencia sobre estos problemas, proteger a los usuarios y prevenir futuros ataques», apostilla Huntley. Y concluye: «Y si bien estamos monitoreando activamente la actividad relacionada con Ucrania y Rusia, continuamos estando tan atentos en relación con otros actores de amenazas a nivel mundial, para asegurarnos de que no se aprovechen de la atención de todos en esta región».