La invasión de Rusia a Ucrania ha sido una guerra sin fin durante los últimos meses. Los actores de amenazas prorrusos continúan su implacable persecución de objetivos ucranianos, con una serie de campañas que incluyen aplicaciones Android falsas, ataques de hacking que explotan vulnerabilidades críticas y ataques de phishing por correo electrónico que intentan obtener credenciales de inicio de sesión, dijeron los investigadores de Google.

Han sido innumerables campañas y una de las campañas más recientes procede de Turla, un agente de amenazas persistentes avanzadas de habla rusa que lleva activo al menos desde 1997 y que se encuentra entre los más sofisticados técnicamente del mundo. Según Google, el grupo se dirigió a voluntarios pro-ucranianos con aplicaciones Android que se hicieron pasar por plataformas de lanzamiento para realizar ataques de denegación de servicio contra sitios web rusos.

"Todo lo que hay que hacer para poner en marcha el proceso es instalar la aplicación, abrirla y pulsar el botón de inicio", decía el sitio web falso que promocionaba la aplicación. "La app comienza inmediatamente a enviar peticiones a los sitios web rusos para saturar sus recursos y provocar la denegación de servicio".

De hecho, según un investigador del grupo de análisis de amenazas de Google, la aplicación envía una única solicitud GET a un sitio web objetivo. Entre bastidores, otro investigador de Google dijo a Vice que la aplicación estaba diseñada para mapear la infraestructura de Internet del usuario y "averiguar dónde están las personas que potencialmente están haciendo este tipo de ataques".

Las aplicaciones, alojadas en un dominio que suplantaba al Regimiento Azov ucraniano, imitaban otra aplicación para Android que Google vio por primera vez en marzo y que también pretendía realizar ataques DoS contra sitios rusos. A diferencia de las aplicaciones de Turla, stopwar.apk, como se llamaba esta última, enviaba un flujo continuo de peticiones hasta que el usuario las detenía.

"Basándonos en nuestro análisis, creemos que la aplicación StopWar fue desarrollada por desarrolladores pro-ucranianos y fue la inspiración en la que los actores de Turla basaron su falsa aplicación DoS CyberAzov", escribió el investigador de Google Billy Leonard.

Otros grupos de hackers patrocinados por el Kremlin también han atacado a grupos ucranianos. Las campañas incluyeron la explotación de Follina, el nombre dado a una vulnerabilidad crítica en todas las versiones soportadas de Windows que fue atacada activamente en la naturaleza durante más de dos meses como un día cero.

Los investigadores de Google confirmaron un informe del CERT-UA de junio en el que se afirmaba que otro grupo de hackers patrocinado por el Kremlin (rastreado bajo diversos nombres, como Fancy Bear, conocido como Pawn Storm, Sofacy Group y APT28) también estaba explotando Follina en un intento de infectar objetivos con un malware conocido como CredoMap. Además, Google dijo que Sandworm (otro grupo patrocinado por el gobierno ruso) también estaba explotando Follina. Esa campaña utilizaba cuentas gubernamentales comprometidas para enviar enlaces a documentos de Microsoft Office alojados en dominios comprometidos, dirigidos principalmente a organizaciones de medios de comunicación de Ucrania.

La empresa de seguridad Palo Alto Networks, por su parte, informó el martes que el grupo de hackers ruso Cloaked Ursa (también conocido como APT29, Nobelium y Cozy Bear) había intensificado los ataques de malware desde el comienzo de la invasión rusa de Ucrania, en parte poniendo a disposición archivos maliciosos para su descarga en Dropbox y Google Drive. Los servicios de inteligencia de Estados Unidos y Reino Unido han atribuido públicamente APT29 al Servicio de Inteligencia Exterior de Rusia (SVR).

"Esto se alinea con el enfoque histórico del grupo, que se remonta a las campañas de malware contra Chechenia y otros países del antiguo bloque soviético en 2008", escribieron los investigadores de Palo Alto Networks Mike Harbison y Peter Renals. Más recientemente, APT29 ha sido vinculado a un hackeo del Comité Nacional Demócrata de Estados Unidos descubierto en 2016 y a los ataques a la cadena de suministro de SolarWinds de 2020.

No todos los grupos de amenazas que apuntan a Ucrania están patrocinados por el Kremlin, dijo Google. Recientemente, un actor con motivación financiera rastreado como UAC-0098 se hizo pasar por el Servicio Estatal de Impuestos de Ucrania y entregó documentos maliciosos que intentaron explotar Follina. Google dijo que el actor es un antiguo intermediario de acceso al ransomware inicial que trabajó previamente con el grupo de ransomware Conti.

El miércoles, el Comando Cibernético de los Estados Unidos compartió detalles técnicos relacionados con lo que, según la agencia, son varios tipos de malware dirigidos a entidades ucranianas en los últimos meses. Las muestras de malware están disponibles en VirusTotal, Pastebin y GitHub. La empresa de seguridad Mandiant dijo que dos grupos de espionaje distintos utilizaron el malware, uno rastreado como UNC1151 y atribuido por Mandiant al gobierno bielorruso y el otro rastreado como UNC2589, que según la empresa "se cree que actúa en apoyo de los intereses del gobierno ruso y ha estado realizando una amplia recolección de espionaje en Ucrania."

La Unión Europea también llamó la atención del gobierno ruso esta semana, señalando que una reciente campaña de denegación de servicio distribuida fue sólo el último ejemplo de ciberataques que lanzó desde su invasión.

"La agresión militar no provocada e injustificada de Rusia contra Ucrania ha ido acompañada de un aumento significativo de las actividades cibernéticas maliciosas, incluyendo un número llamativo y preocupante de hackers y grupos de hackers que atacan indiscriminadamente a entidades esenciales a nivel mundial", escribieron los funcionarios de la UE. "Este aumento de las actividades cibernéticas maliciosas, en el contexto de la guerra contra Ucrania, crea riesgos inaceptables de efectos indirectos, mala interpretación y posible escalada".