El Centro Criptológico Nacional (CCN), organismo adscrito al Centro Nacional de Inteligencia (CNI), ha publicado el informe ‘Ciberamenazas y tendencias’ en el que detalla las actividades de los grupos prorrusos en el ciberespacio y acusa al régimen norcoreano de estar detrás de una organización que robó 1.700 millones de dólares en criptomonedas.
El informe publicado en noviembre de 2023 por el Centro Criptológico Nacional (CCN) detalla las acciones de ciberguerra, ciberespionaje y hacktivismo llevadas a cabo por grupos prorrusos en el entorno de la guerra entre Ucrania y Rusia en 2022.
Además, el CCN advierte de un aumento de las acciones de cibercrimen por parte de grupos asociados al gobierno norcoreano. El grupo relacionado con el Reconnaissance General Bureau (RGB), Bluenoroff, habría llegado a robar más de 1.700 millones de dólares en criptomonedas en 2022.
Ciberguerra, ciberespionaje y hacktivismo ruso
Según el informe, las acciones de ciberguerra han sido protagonizadas por grupos de APT (Amenaza Persistente Avanzada) como Sandworm y APT28 a través de operaciones combinadas en la operación militar contra Ucrania.
Sandworm, un grupo perteneciente a la Unidad 74455 de la Dirección General de Investigación de las Fuerzas Armadas rusas (GRU), ha utilizado diferentes códigos dañinos contra bancos, entidades gubernamentales o subestaciones eléctricas que han provocado cortes de energía en Ucrania.
Otro grupo asociado al GRU ruso, denominado APT28 o Fancy Bear, es descrito como uno de los actores con mayor actividad registrada desde su aparición en 2004. Este grupo prorruso ha desplegado un programa informático malicioso que apoyaba la idea de que una escalada en la tensión del conflicto ruso-ucraniano podría llevarlo a una escala nuclear.
Además, otro importante actor de ciberespionaje denominado APT29, asociado al Servicio de Investigaciones Exteriores ruso (SVR), ha puesto en marcha varias campañas contra personal de embajadas de la Unión Europa y OTAN.
El informe señala también actividades de ciberespionaje de prácticamente la totalidad de los grupos asociados al gobierno ruso. El grupo, asociado a la unidad 64829 del Servicio Federal de Seguridad de la Federación Rusa (FSB), denominado Gamaredon, ha llevado a cabo campañas de phishing contra los Servicios de Seguridad de Ucrania, el sector militar y el gubernamental, utilizando señuelos relacionados con la guerra y haciéndose pasar por remitentes de la Academia Nacional del Servicio de Seguridad de Ucrania.
El FSB también ha utilizado el mecanismo Turla, considerado como uno de los más sofisticados en cuanto a capacidades se refiere. A lo largo del año 2022 ha realizado numerosas actividades contra organismos ucranianos, especialmente a través de sus artefactos Kazuar y Capibar.
El documento también advierte de que España también ha sufrido los ataques prorrusos debido a su apoyo a Ucrania. El 14 de octubre de 2022 el grupo hacktivista prorruso NoName057 animó a través de sus canales de Telegram un supuesto ataque de denegación de servicio distribuido (DDoS) contra la página web del Ministerio de Defensa español.
Un grupo asociado al régimen norcoreano ha robado más de 1.700 millones de dólares en criptomoneda
El CCN afirma que el grupo de origen norcoreano asociado al Reconnaissance General Bureau (RGB), Lazarus, ha llevado a cabo ataques contra Europa, especialmente contra la industria aeroespacial y naval. Sin embargo, el grupo ha variado su modus operandi, advierte el informe, para acceder a los terminales atacados aplica técnicas de ingeniería social, en concreto vía LinkedIn, en el que solicita la descarga de un fichero ubicado en un servicio en la nube. Anteriormente utilizaba la suplantación de empresas como Lockheed Martin o Raytheon (dedicadas a la industria de la defensa).
El Departamento de Justicia de los Estados Unidos llegó a acusar a tres personas de formar parte de una trama de blanqueo de dinero asociada a estos robos. Todo apunta a que el grupo asociado con estas actividades es BlueNoroff, también conocido como APT38, y sería el grupo responsable de llevar a cabo acciones con motivación financiera dentro del RGB. Corea del Norte es uno de los pocos Estados que ha sido identificado ejecutando operaciones ligadas al beneficio económico directo (Operationally-motivated APT).
Artículo escrito por:
Laura Ruiz Sancho. Periodista. Apasionada de la geopolítica y siempre con un ojo puesto en la actualidad internacional. Experta profesional en terrorismo yihadista por la UNED y Máster en Verificación Digital y Periodismo de datos (CEU).
