Rusia es habitualmente relacionada con la ciberdelincuencia internacional. Uno de los motivos es que sus autoridades suelen hacer la vista gorda con las mafias que actúan en la red si estas centran sus ataques en el mundo occidental. A veces, obedecen a órdenes superiores y otras simplemente gracias a los sobornos. Esto hace que se identifique a los “hackers rusos” con ciberataques de toda índole, muchos de los cuales no tienen ninguna relación con el estado ruso ni son perpetrados por ciudadanos rusos.
Uno de los comandos que los especialistas en ciberseguridad saben que actúan bajo órdenes directas del Kremlin es Fancy Bear, formado en algún momento entre 2004 y 2008. Su código es APT28, derivado de las siglas en inglés de Amenaza Persistente Avanzada y se les señala como los autores de ciberoperaciones de alto nivel guiadas por motivaciones geoestratégicas marcadas desde Moscú. Entre ellas están el hackeo a Emanuel Macron, la incursión en las redes informáticas del Bundestag, el ataque a medios de comunicación franceses haciéndose pasar por miembros del ISIS, al Comité Nacional Demócrata durante las elecciones de EEUU o contra Ucrania durante los años previos a la invasión.
Una de sus últimas campañas fue contra organizaciones científicas. En esa operación cayó el Consejo Superior de Investigaciones Científicas (CSIC), el Instituto de investigación Max Plank de Alemania o la NASA. “Su objetivo fue el robo de información de bases de datos del CSIC”, explica Ana Junquera, investigadora de amenazas de la firma de ciberseguridad española Tarlogic. Qué datos buscaba Fancy Bear es un misterio, pero su ataque tuvo al centro español completamente paralizado durante un mes.
Junquera ha presentado una investigación sobre Fancy Bear en el marco de la RootedCon, el mayor congreso de ciberseguridad de España. La experta ha detallado el modus operandi de este grupo, las diferentes fases en las que desarrollan sus ataques y cómo se puede detectar su rastro.
Dependientes del GRU
El nombre “Fancy Bear” es una denominación occidental para este comando cibernético ruso, que se cree forma parte del GRU, la inteligencia militar rusa dedicada a operar en el exterior. La palabra “Bear” hace referencia a “oso” en inglés, un término usado para denominar a los hackers rusos. “Fancy” significa “sofisticado” y se le asigna por una palabra que el investigador que rastreó por primera vez su actividad encontró en el código del malware utilizado por el grupo.
El Gobierno ruso ha negado repetidamente cualquier vinculación con las acciones de Fancy Bear, pero los especialistas coinciden en señalar que las pruebas demuestran lo contrario. La primera son los objetivos del comando, que no siguen las motivaciones económicas de las mafias tradicionales sino las prioridades geoestratégicas del Kremlin. Los expertos que los han investigado han detectado además que su actividad siempre se desarrolla en horarios que van desde las 8.00 a las 20.00 horas de Moscú. “Es bien conocido que cada gobierno tiene por lo menos un grupo APT a su servicio. Rusia no iba a ser menos”, señala Junquera.
Su calificación como APT indica que es un actor que realiza operaciones cibernéticas de forma continuada. Cuando las defensas de sus objetivos mejoran, ellos encuentran nuevos vectores de ataque. Esto les diferencia de la gran mayoría de grupos de ciberdelincuentes habituales, cuyo período de actividad suele estar mucho más acotado a la vida útil de un determinado conjunto de herramientas de ataque especializadas. También están más dispuestos a llevar a cabo infiltraciones muy largas en las redes de sus objetivos, otra práctica que los ciberdelincuentes tradicionales prefieren evitar.
Operaciones con siete fases
Como ha expuesto Junquera, las operaciones de Fancy Bear suelen tener siete fases. La primera es la de reconocimiento, en la que se recopila información sobre el objetivo. La segunda es la militarización, durante la que se desarrollan las herramientas y el software que usarán durante el ataque. Después llega la fase de distribución, en la que se introduce ese software en las redes de la víctima aprovechando los puntos débiles descubiertos en la fase de reconocimiento, ya sea phishing o por conexiones físicas.
Las primeras tres fases se producen en la sombra, pero el punto de inflexión llega en la cuarta. Es la explotación, en la que se dispara el malware contra el objetivo y se compromete el equipo o su red. Después se produce la fase de instalación, “en la que el adversario busca establecer persistencia en el sistema, instalando puertas traseras, por ejemplo”, ha explicado Junquera. Las dos últimas son las de control, en la que Fancy Bear puede tomar el mando de los sistemas de la víctima para extraer información o ejecutar algún comando; y la de acciones sobre los objetivos, la “fase en la que el atacante se pretende expandir a otros objetivos (movimiento lateral) o realizar otras acciones sobre el objetivo como, por ejemplo, encriptar sus datos (ransomware)”.
Para llevar a cabo esta cadena de acciones, Fancy Bear utiliza diversas herramientas, algunas de diseño propio y otras de uso habitual por parte de los grupos de ciberdelincuentes. También es habitual que realice ataques de falsa bandera en los que pretende responsabilizar a otro actor de sus acciones, por lo que copia sus estrategias, métodos o mensajes.
Por todo ello, Junquera ha señalado que al contrario de lo que ocurre con otros grupos de ciberdelincuentes, el método más eficaz para descubrir si Fancy Bear está detrás de una acción concreta no es el análisis de los “indicadores de compromiso” tradicionales (las pistas tras un ciberataque, como el lenguaje del código malicioso utilizado).
Al contrario, señala que es más útil analizar las “tácticas, técnicas y procedimientos utilizados por el grupo”. Estas “indican el comportamiento del adversario y es en lo que debemos centrar nuestros esfuerzos defensivos” y son más “genéricas y difíciles de cambiar”. Durante su charla, la experta ha expuesto los detalles técnicos que marcan el comportamiento de Fancy Bear, así como una veintena de herramientas que el grupo usa para conseguir que su víctima descargue los archivos maliciosos que se usarán más tarde para 'ciberatarla' o para generar puertas traseras que dificulten que pueda defenderse en un futuro.