Defensa ha sido invadida utilizando tácticas de los hackers rusos

Un simple correo electrónico con un archivo adjunto, procedente de una dirección de confianza -normalmente suplantando la identidad de un amigo, familiar o compañero de trabajo-, ha logrado poner en jaque toda la red interna del Ministerio de Defensa.

Según ha sabido ECD de fuentes militares, el origen del ciberataque que Defensa ha denunciado a la Fiscalía está relacionado con el ‘phishing’. Una técnica que utilizan los hackers para colarse en una red y extender sus ‘tentáculos’ en busca de información valiosa que puedan contener todos los ordenadores conectados a esos servidores.

Un correo infectado, el origen de todo

Tal y como relatan fuentes militares bien situadas, la infección denunciada por Defensa llegó a través del correo electrónico de un “funcionario”, sin especificar si es militar o civil. En dicho mensaje iba adjunto un archivo, e incrustado a este se encontraba el código malicioso que permitió el acceso de los hackers a los servidores de Defensa. Concretamente a la red de ‘propósito general’ WAN PG, que es la que utiliza el personal militar para acceder a la navegación web o a sus correos electrónicos corporativos.

Posteriormente, explican fuentes consultadas por ECD, se detectó que esa dirección de correo infectada originariamente había enviado una serie de emails similares y automáticos a otras direcciones corporativas de Defensa, con el objetivo de provocar un contagio. Y posiblemente, detectar una forma de acceder a la red clasificada en la que sí circula información sensible.

La OTAN alertó a España hace tres meses

Este martes ‘El Español’ informaba que la intrusión en las redes de Defensa se produjo hace al menos tres meses. Durante este tiempo, por tanto, los autores del asalto han estado moviéndose con libertad por esta red de propósito general del Ministerio.

Este plazo remonta el origen del ciberataque al pasado mes de diciembre. En esas mismas fechas, fuentes militares bien situadas advertían a ECD de que las redes informáticas militares de España se encontraban en ese momento bajo ataques constantes por parte de actores que parecían operar por encargo de algún ente estatal.

Se sospechaba, como en ocasiones anteriores, que los asaltos podrían provenir de Rusia. Sin embargo, la capacidad de estos grupos para camuflar sus pasos dificulta y hace casi imposible rastrear sus pasos y localizar el origen exacto.

Robar información de la Alianza, objetivo prioritario

Contaba ECD que en los últimos meses de 2018 se había detectado una actividad inusitada en estos grupos, cuyo objetivo prioritario había pasado a ser la OTAN –tiempo antes lo fue la Unión Europea- y todas las redes de los países que forman parte de la Alianza. Incluida España.

Los investigadores descubrieron que el ‘malware’ diseñado por estas organizaciones parecía tener una especial predilección hacia las redes informáticas que pudieran tener algún tipo de información de la OTAN. Y su ‘modus operandi’ y técnicas era casi siempre las mismas: entrar en los servidores a través de una campaña bien dirigida de ‘phishing’.

Un ‘gusano en el oído’

Los analistas de la OTAN y las principales consultoras de seguridad han puesto nombre incluso al grupo especializado en atacar a la inteligencia militar aliada. Se denomina ‘Earworm’ (‘Gusano en el oído’) o ‘Zebrocy’.

Consultoras internacionales como Symantec señalan que esta marcas tiene claras vinculaciones con el grupo APT28. O lo que es lo mismo, la matriz relacionada con la inteligencia estatal rusa que esponsoriza las actividades ilegales en la red de todas estas facciones.

Esta facción concreta, que las fuentes consultadas eluden identificar todavía como la causante del ataque a Defensa, utiliza dos tipos de ‘malware’. ‘Trojan Zekapab’ es capaz de instalarse en un ordenador y descargarse otros programas ‘espía’, mientras ‘Backdoor Zekapab’ infecta el ordenador y permite tomar capturas de pantalla, ejecutar archivos o hacer ‘keylogging’: grabar todas las pulsaciones que se realizan sobre el teclado pudiendo obtener así contraseñas de acceso.

España, bajo “ataques constantes”

El ataque contra Defensa no es un hecho aislado. Fuentes del Centro Criptológico Nacional, entidad dependiente del CNI que se encarga de la protección de la información sensible en servidores estatales, admitían a ECD a finales de 2017 que los servidores de ministerios españoles estaban bajo un continuo asedio por parte de hackers.

Es más. Admitían abiertamente que rastreando estos ataques hacia su origen podía encontrarse alguno de los servicios de inteligencia rusos, como el GRU, el SVR o la FSB. Y que sus objetivos prioritarios eran los servidores de Defensa y de Exteriores.

Señalaban, con preocupación, que era muy factible que España hubiese sufrido en el pasado ciberataques e incluso robo de datos sensibles y aún “no se supiera”, ya que la actividad de estos grupos es difícilmente rastreable.

Por otra parte, voces militares consultadas admiten que los cortafuegos y antivirus con los que se protege una red como la del Ministerio de Defensa “son tecnológicamente punteros, pero no son perfectos”. Los grupos que programan este tipo de códigos maliciosos “trabajan incansablemente para que sus productos consigan saltarse todas las protecciones”. Y a veces lo consiguen.