الريــم
12-26-2023, 10:11 AM
El Centro Criptol?gico Nacional (CCN), organismo adscrito al Centro Nacional de Inteligencia (CNI), ha publicado el informe 'Ciberamenazas y tendencias' en el que 'desnuda' los principales desaf?os de seguridad (https://www.epe.es/es/investigacion/20231226/cni-ciberguerra-espionaje-ruso-corea-norte-china-96139475) que afrontan en internet Espa?a y el resto de pa?ses de Occidente por parte de dictaduras como la Rusia de Vlad?mir Putin o la Corea del Norte del régimen totalitario de Kim Jong-un.
El an?lisis del espionaje espa?ol de las actividades de estos pa?ses no es nuevo, ni mucho menos, tal y como lo evidencian las diferentes actuaciones conocidas del CNI. Como por ejemplo cuando en 2007 se detect? una fuga de informaci?n hacia Rusia protagonizada por el exagente asturiano Roberto Fl?rez, que acab? condenado por el Tribunal Supremo a 9 a?os de prisi?n.
De forma m?s reciente, en mayo de 2023, la Audiencia Nacional denegaba la nacionalidad a un ciudadano ruso afincado en Espa?a desde 2017 tras recibir un informe del CNI que vinculaba a este sujeto nada menos a los servicios de espionaje y a la mafia rusa.
Inteligencia rusa
El documento de los esp?as espa?oles, a cuya transcripci?n ha tenido acceso de forma parcial El Peri?dico de Espa?a, (https://www.epe.es/es/) del grupo Prensa Ibérica, aseguraba de forma literal: "Se tiene conocimiento probado del trabajo consciente de [...] para los Servicios de Inteligencia rusos, de los que recibe misiones. Asimismo, se han detectado contactos de este individuo con algunos de los principales l?deres del crimen organizado transnacional de origen ruso, para los que también realiza diferentes labores".
Image ID:
96253978
La ministra de Defensa en funciones, Margarita Robles.
EP
/clip/faab8015-c3b1-47c8-9923-8255373b8e0b_16-9-aspect-ratio_default_0.jpg
1200
800
De hecho, el informe del Centro Criptol?gico, publicado en noviembre pasado, advierte de que Espa?a también ha sufrido los ataques prorrusos por la posici?n espa?ola favorable a Ucrania. En concreto, relata que 14 de octubre de 2022 el grupo hacktivista prorruso "NoName057" promocion? a través de sus canales oficiales de Telegram, en ruso e inglés, "un supuesto ataque de denegaci?n de servicio distribuido (DDoS)" [un intento de sobrecargar de tr?fico una web para interrumpir su funcionamiento normal] llevado a cabo por miembros o voluntarios afines al grupo contra la p?gina web del Ministerio de Defensa de Margarita Robles.
"El grupo asegur? que el ataque era en represalia por el env?o de armas a Ucrania por parte del Gobierno de Espa?a", recuerda el informe, que destaca también que a mediados de octubre de 2022 un agente denominado "Ziyaettin" anunci? un ataque similar al anterior contra las web del "Banco de Espa?a, del Presidente del Gobierno y del Consejo de Ministros en Espa?a, La Moncloa. El actor ofreci? la venta de un acceso a un servidor de base de datos".
Actuaci?n del FSB ruso
Pero, adem?s de las repercusiones sobre Espa?a, el informe de los analistas del Centro Criptol?gico hace un profundo an?lisis de las actividades del ciberespionaje ruso. As?, se?ala que la unidad 64829 del Servicio Federal de Seguridad de la Federaci?n Rusa, conocido con las siglas de FSB, creado en 1995 tras la desaparici?n del KGB soviético, ha utilizado un colectivo asociado, denominado Gamaredon, que ha tenido "una actividad muy importante durante 2022, orientada al espionaje, la contrainteligencia y las operaciones de influencia".
"Durante la guerra, Gamaredon ha llevado a cabo un gran n?mero de acciones contra Ucrania. En este sentido, entre los objetivos de sus campa?as de phishing se encuentran los Servicios de Seguridad de Ucrania, el sector militar y el gubernamental, utilizando se?uelos relacionados con la guerra y haciéndose pasar por remitentes de la Academia Nacional del Servicio de Seguridad de Ucrania", indica el dosier.
Image ID:
96254000
El jefe del Estado Mayor General ruso, Valery Gerasimov, Vlad?mir Putin y el ministro de Defensa ruso, Sergei Shoigu.
EFE
/clip/0365d88e-30d3-4c29-89b0-46a5818d6d07_16-9-aspect-ratio_default_0.jpg
1200
828
Pero el FSB también dispone del mecanismo denominado "Turla" para llevar a cabo sus ciberataques. Seg?n el Centro Criptol?gico es uno de los "m?s sofisticados en cuanto a capacidades". En 2022 realiz? numerosas actividades contra organismos ucranianos, especialmente a través de sus "artefactos Kazuar y Capibar". Pero Turla no s?lo ha llevado actividades en Ucrania, pues este actor ha seguido atacando organismos gubernamentales y de defensa.
Unidad del GRU
La Unidad 74455 de la Direcci?n General de Investigaci?n de las Fuerzas Armadas rusas (GRU) se vale del grupo denominado "Sandworm", que seg?n el Centro Criptol?gico Nacional podr?a tratarse de "la unidad dedicada al ciberespacio como dominio de las operaciones combinadas rusas".
Se dedica, siempre seg?n el informe, a realizar sobre todo acciones contra "objetivos estratégicos ucranianos". Un ejemplo de esta ciberataque ser?a la actuaci?n de "Industroyer2" contra "objetivos de control industrial (ICS) o el ataque contra infraestructuras combinando el ciberataque con un ataque con misiles".
"Sandworm" también ha utilizado diferentes c?digos da?inos contra bancos, entidades gubernamentales o subestaciones eléctricas que han provocado cortes de energ?a en Ucrania. Otro objetivo ha sido el sector de las comunicaciones, pues el 27 de enero se registr? un ataque de "Sandworm a Ukrinform" a la Agencia Nacional de Noticias de Ucrania. En estos ataques inform?ticos se usan "c?digos da?inos destructivos que borran los ficheros y eliminan la informaci?n" disponible en los ordenadores.
"Fancy Bear"
Asimismo, el GRU ruso dispone del grupo denominado "APT28" o "Fancy Bear", que pertenece a la Unidad 26165, y "es uno de los actores con mayor actividad registrada desde su aparici?n, en 2004". Su objetivo principal, seg?n la informaci?n facilitada por el CNI, ha sido el ciberespionaje, aunque también habr?a desplegado software malicioso en campa?as contra Ucrania.
"Sin embargo, existe una diferencia respecto a otros grupos APT, y es que el robo de informaci?n se centra especialmente en la fase de targeting (an?lisis de objetivos) de una operaci?n combinada, es decir, la fase de obtenci?n de inteligencia de cara al planeamiento de una misi?n multidominio", dice el informe 'Ciberamenazas y tendencias'. "APT28" también habr?a participado en un ataque para infectar la cadena de suministro de Ucrania.
Por su parte, el Servicio de Investigaciones Exteriores ruso (SVR), dedicado a la inteligencia fuera del pa?s euroasi?tico, se ha valido del "actor de ciberespionaje" denominado "APT29". Este colectivo es uno de los grupos con mayor actividad contra los Gobiernos occidentales.
En concreto, prosigue el informe, en 2022 se han detectado ataques contra los sectores de Defensa y varias campa?as contra personal de embajadas de la Uni?n Europea y de la OTAN. También se ha aprovechado de los fallos de sistema de Microsoft para realizar los conocidos como "ataques denominados 'de d?a 0".
Image ID:
96254033
El l?der norcoreano Kim Jong-un con su hija, Ju-ae, durante la prueba de un misil bal?stico intercontinental.
EFE
/clip/6168b1d9-a270-4b17-abc9-62b078508771_16-9-aspect-ratio_default_0.jpg
1200
675
Un actor de Corea del Norte
El dosier del Centro Criptol?gico no s?lo habla de Rusia. De hecho, destaca que entre los actores que han realizado "campa?as de gran importancia" se encuentra "Lazarus Group", procedente de Corea del Norte, y que asocia "al Reconnaissance General Bureau (RGB) [el informe utiliza el idioma francés para nombrar a los servicios de espionaje de este pa?s asi?tico] concretamente al ?rea de inteligencia" de Pionyang.
En 2022 Lazarus llev? a cabo ataques en Europa, especialmente contra la industria aeroespacial y naval. Sin embargo, ha variado su modus operandi, pues para acceder a los terminales atacados aplica técnicas de ingenier?a social, en concreto v?a LinkedIn, en el que solicita la descarga de un fichero ubicado en un servicio en la nube. Una vez descargado ejecuta la carga maliciosa.
"Mientras que anteriormente era recurrente la suplantaci?n de empresas como Lockheed Martin o Raytheon (dedicadas a la industria de la defensa), durante 2022 también se ha visto la suplantaci?n de empresas del sector tecnol?gico como META -Facebook-)", destaca el dosier.
Ciberpirater?a desde Pionyang
Para el CNI (https://www.epe.es/es/politica/20211202/bono-admite-trato-cni-pagos-12929895) las acciones de cibercrimen de grupos asociados al Gobierno norcoreano "no son una novedad". Pero en 2022 este tipo de operaciones "se han visto incrementadas sustancialmente". En concreto, el Centro Criptol?gico destaca que algunas investigaciones apuntan que este grupo asociado al Gobierno de Kim Jong-un "lleg? a robar m?s de 1.700 millones de d?lares en criptomoneda".
El Departamento de Justicia de los Estados Unidos lleg? a acusar a tres personas de formar parte de una trama de blanqueo de dinero asociada a estos robos. "Todo apunta a que el grupo asociado con estas actividades es 'BlueNoroff', también conocido como APT38, y ser?a el responsable de llevar a cabo acciones con motivaci?n financiera dentro del Reconnaissance General Bureau (RGB). Es necesario destacar que Corea del Norte es uno de los pocos estados que ha sido identificado ejecutando operaciones ligadas al beneficio econ?mico directo", destaca el documento del espionaje espa?ol.
"BlueNoroff" han llevado a cabo ataques de tipo spearphishing (enga?os para divulgar informaci?n confidencial, para descargar malware o enviar autorizaciones de pago). Pero también han contactado de forma directa con las v?ctimas a través de LinkedIn, WhatsApp, Discord o Twitter, a semejanza del modus operandi de Lazarus. "Con el mismo objetivo se han identificado ataques de suplantaci?n de cadena de suministro, identificando aplicaciones de criptomoneda (en este caso QT Bincoin Trader)", prosigue el dosier del Centro Criptol?gico.
Otro colectivo, denominado "APT47", ha emprendido una campa?a contra los intereses de Corea del Sur, pa?s en el que han llevado a cabo la monitorizaci?n de dispositivos para exfiltrar archivos, robar credenciales o realizar capturas de pantalla.
El actor "APT41" ha atacado el sector del videojuego de Corea del Sur y Taiw?n; mientras que el grupo chino "APT10" ha centrado sus objetivos en medios de comunicaci?n, organizaciones diplom?ticas y gubernamentales, y el sector p?blico japoneses.
أكثر... (https://www.sport.es/es/noticias/nacional/cni-desnuda-ciberguerra-espias-rusos-96254088)
El an?lisis del espionaje espa?ol de las actividades de estos pa?ses no es nuevo, ni mucho menos, tal y como lo evidencian las diferentes actuaciones conocidas del CNI. Como por ejemplo cuando en 2007 se detect? una fuga de informaci?n hacia Rusia protagonizada por el exagente asturiano Roberto Fl?rez, que acab? condenado por el Tribunal Supremo a 9 a?os de prisi?n.
De forma m?s reciente, en mayo de 2023, la Audiencia Nacional denegaba la nacionalidad a un ciudadano ruso afincado en Espa?a desde 2017 tras recibir un informe del CNI que vinculaba a este sujeto nada menos a los servicios de espionaje y a la mafia rusa.
Inteligencia rusa
El documento de los esp?as espa?oles, a cuya transcripci?n ha tenido acceso de forma parcial El Peri?dico de Espa?a, (https://www.epe.es/es/) del grupo Prensa Ibérica, aseguraba de forma literal: "Se tiene conocimiento probado del trabajo consciente de [...] para los Servicios de Inteligencia rusos, de los que recibe misiones. Asimismo, se han detectado contactos de este individuo con algunos de los principales l?deres del crimen organizado transnacional de origen ruso, para los que también realiza diferentes labores".
Image ID:
96253978
La ministra de Defensa en funciones, Margarita Robles.
EP
/clip/faab8015-c3b1-47c8-9923-8255373b8e0b_16-9-aspect-ratio_default_0.jpg
1200
800
De hecho, el informe del Centro Criptol?gico, publicado en noviembre pasado, advierte de que Espa?a también ha sufrido los ataques prorrusos por la posici?n espa?ola favorable a Ucrania. En concreto, relata que 14 de octubre de 2022 el grupo hacktivista prorruso "NoName057" promocion? a través de sus canales oficiales de Telegram, en ruso e inglés, "un supuesto ataque de denegaci?n de servicio distribuido (DDoS)" [un intento de sobrecargar de tr?fico una web para interrumpir su funcionamiento normal] llevado a cabo por miembros o voluntarios afines al grupo contra la p?gina web del Ministerio de Defensa de Margarita Robles.
"El grupo asegur? que el ataque era en represalia por el env?o de armas a Ucrania por parte del Gobierno de Espa?a", recuerda el informe, que destaca también que a mediados de octubre de 2022 un agente denominado "Ziyaettin" anunci? un ataque similar al anterior contra las web del "Banco de Espa?a, del Presidente del Gobierno y del Consejo de Ministros en Espa?a, La Moncloa. El actor ofreci? la venta de un acceso a un servidor de base de datos".
Actuaci?n del FSB ruso
Pero, adem?s de las repercusiones sobre Espa?a, el informe de los analistas del Centro Criptol?gico hace un profundo an?lisis de las actividades del ciberespionaje ruso. As?, se?ala que la unidad 64829 del Servicio Federal de Seguridad de la Federaci?n Rusa, conocido con las siglas de FSB, creado en 1995 tras la desaparici?n del KGB soviético, ha utilizado un colectivo asociado, denominado Gamaredon, que ha tenido "una actividad muy importante durante 2022, orientada al espionaje, la contrainteligencia y las operaciones de influencia".
"Durante la guerra, Gamaredon ha llevado a cabo un gran n?mero de acciones contra Ucrania. En este sentido, entre los objetivos de sus campa?as de phishing se encuentran los Servicios de Seguridad de Ucrania, el sector militar y el gubernamental, utilizando se?uelos relacionados con la guerra y haciéndose pasar por remitentes de la Academia Nacional del Servicio de Seguridad de Ucrania", indica el dosier.
Image ID:
96254000
El jefe del Estado Mayor General ruso, Valery Gerasimov, Vlad?mir Putin y el ministro de Defensa ruso, Sergei Shoigu.
EFE
/clip/0365d88e-30d3-4c29-89b0-46a5818d6d07_16-9-aspect-ratio_default_0.jpg
1200
828
Pero el FSB también dispone del mecanismo denominado "Turla" para llevar a cabo sus ciberataques. Seg?n el Centro Criptol?gico es uno de los "m?s sofisticados en cuanto a capacidades". En 2022 realiz? numerosas actividades contra organismos ucranianos, especialmente a través de sus "artefactos Kazuar y Capibar". Pero Turla no s?lo ha llevado actividades en Ucrania, pues este actor ha seguido atacando organismos gubernamentales y de defensa.
Unidad del GRU
La Unidad 74455 de la Direcci?n General de Investigaci?n de las Fuerzas Armadas rusas (GRU) se vale del grupo denominado "Sandworm", que seg?n el Centro Criptol?gico Nacional podr?a tratarse de "la unidad dedicada al ciberespacio como dominio de las operaciones combinadas rusas".
Se dedica, siempre seg?n el informe, a realizar sobre todo acciones contra "objetivos estratégicos ucranianos". Un ejemplo de esta ciberataque ser?a la actuaci?n de "Industroyer2" contra "objetivos de control industrial (ICS) o el ataque contra infraestructuras combinando el ciberataque con un ataque con misiles".
"Sandworm" también ha utilizado diferentes c?digos da?inos contra bancos, entidades gubernamentales o subestaciones eléctricas que han provocado cortes de energ?a en Ucrania. Otro objetivo ha sido el sector de las comunicaciones, pues el 27 de enero se registr? un ataque de "Sandworm a Ukrinform" a la Agencia Nacional de Noticias de Ucrania. En estos ataques inform?ticos se usan "c?digos da?inos destructivos que borran los ficheros y eliminan la informaci?n" disponible en los ordenadores.
"Fancy Bear"
Asimismo, el GRU ruso dispone del grupo denominado "APT28" o "Fancy Bear", que pertenece a la Unidad 26165, y "es uno de los actores con mayor actividad registrada desde su aparici?n, en 2004". Su objetivo principal, seg?n la informaci?n facilitada por el CNI, ha sido el ciberespionaje, aunque también habr?a desplegado software malicioso en campa?as contra Ucrania.
"Sin embargo, existe una diferencia respecto a otros grupos APT, y es que el robo de informaci?n se centra especialmente en la fase de targeting (an?lisis de objetivos) de una operaci?n combinada, es decir, la fase de obtenci?n de inteligencia de cara al planeamiento de una misi?n multidominio", dice el informe 'Ciberamenazas y tendencias'. "APT28" también habr?a participado en un ataque para infectar la cadena de suministro de Ucrania.
Por su parte, el Servicio de Investigaciones Exteriores ruso (SVR), dedicado a la inteligencia fuera del pa?s euroasi?tico, se ha valido del "actor de ciberespionaje" denominado "APT29". Este colectivo es uno de los grupos con mayor actividad contra los Gobiernos occidentales.
En concreto, prosigue el informe, en 2022 se han detectado ataques contra los sectores de Defensa y varias campa?as contra personal de embajadas de la Uni?n Europea y de la OTAN. También se ha aprovechado de los fallos de sistema de Microsoft para realizar los conocidos como "ataques denominados 'de d?a 0".
Image ID:
96254033
El l?der norcoreano Kim Jong-un con su hija, Ju-ae, durante la prueba de un misil bal?stico intercontinental.
EFE
/clip/6168b1d9-a270-4b17-abc9-62b078508771_16-9-aspect-ratio_default_0.jpg
1200
675
Un actor de Corea del Norte
El dosier del Centro Criptol?gico no s?lo habla de Rusia. De hecho, destaca que entre los actores que han realizado "campa?as de gran importancia" se encuentra "Lazarus Group", procedente de Corea del Norte, y que asocia "al Reconnaissance General Bureau (RGB) [el informe utiliza el idioma francés para nombrar a los servicios de espionaje de este pa?s asi?tico] concretamente al ?rea de inteligencia" de Pionyang.
En 2022 Lazarus llev? a cabo ataques en Europa, especialmente contra la industria aeroespacial y naval. Sin embargo, ha variado su modus operandi, pues para acceder a los terminales atacados aplica técnicas de ingenier?a social, en concreto v?a LinkedIn, en el que solicita la descarga de un fichero ubicado en un servicio en la nube. Una vez descargado ejecuta la carga maliciosa.
"Mientras que anteriormente era recurrente la suplantaci?n de empresas como Lockheed Martin o Raytheon (dedicadas a la industria de la defensa), durante 2022 también se ha visto la suplantaci?n de empresas del sector tecnol?gico como META -Facebook-)", destaca el dosier.
Ciberpirater?a desde Pionyang
Para el CNI (https://www.epe.es/es/politica/20211202/bono-admite-trato-cni-pagos-12929895) las acciones de cibercrimen de grupos asociados al Gobierno norcoreano "no son una novedad". Pero en 2022 este tipo de operaciones "se han visto incrementadas sustancialmente". En concreto, el Centro Criptol?gico destaca que algunas investigaciones apuntan que este grupo asociado al Gobierno de Kim Jong-un "lleg? a robar m?s de 1.700 millones de d?lares en criptomoneda".
El Departamento de Justicia de los Estados Unidos lleg? a acusar a tres personas de formar parte de una trama de blanqueo de dinero asociada a estos robos. "Todo apunta a que el grupo asociado con estas actividades es 'BlueNoroff', también conocido como APT38, y ser?a el responsable de llevar a cabo acciones con motivaci?n financiera dentro del Reconnaissance General Bureau (RGB). Es necesario destacar que Corea del Norte es uno de los pocos estados que ha sido identificado ejecutando operaciones ligadas al beneficio econ?mico directo", destaca el documento del espionaje espa?ol.
"BlueNoroff" han llevado a cabo ataques de tipo spearphishing (enga?os para divulgar informaci?n confidencial, para descargar malware o enviar autorizaciones de pago). Pero también han contactado de forma directa con las v?ctimas a través de LinkedIn, WhatsApp, Discord o Twitter, a semejanza del modus operandi de Lazarus. "Con el mismo objetivo se han identificado ataques de suplantaci?n de cadena de suministro, identificando aplicaciones de criptomoneda (en este caso QT Bincoin Trader)", prosigue el dosier del Centro Criptol?gico.
Otro colectivo, denominado "APT47", ha emprendido una campa?a contra los intereses de Corea del Sur, pa?s en el que han llevado a cabo la monitorizaci?n de dispositivos para exfiltrar archivos, robar credenciales o realizar capturas de pantalla.
El actor "APT41" ha atacado el sector del videojuego de Corea del Sur y Taiw?n; mientras que el grupo chino "APT10" ha centrado sus objetivos en medios de comunicaci?n, organizaciones diplom?ticas y gubernamentales, y el sector p?blico japoneses.
أكثر... (https://www.sport.es/es/noticias/nacional/cni-desnuda-ciberguerra-espias-rusos-96254088)