Estados Unidos acusa a cuatro espías rusos de piratear las instalaciones petroleras saudíes y la planta nuclear estadounidense - TechCrunch


El Departamento de Justicia de EE. UU. ha anunciado acusaciones contra cuatro empleados del gobierno ruso durante una campaña de piratería de años de duración dirigida a infraestructura crítica, incluido el operador de una planta de energía nuclear de EE. UU. y una planta petroquímica de Arabia Saudita.

La primera acusación, con fecha de junio de 2021, acusa a Evgeny Viktorovich Gladkikh, de 36 años, programador de computadoras en el Ministerio de Defensa de Rusia y dos co-conspiradores de conspirar para piratear sistemas de control industrial, los dispositivos críticos que mantienen operativas las plantas industriales, centrales eléctricas en todo el mundo. Se cree que Gladkikh está detrás del notorio malware Triton utilizado para atacar una planta petroquímica en Arabia Saudita en 2017. Los piratas informáticos utilizaron el malware para deshabilitar los sistemas de seguridad en las instalaciones diseñados para evitar condiciones peligrosas que podrían provocar fugas o explosiones. Tritón se asoció por primera vez con Rusia en octubre de 2018.

Después de su plan fallido de hacer estallar la planta saudita, los piratas informáticos intentaron piratear las computadoras de una empresa que administraba unidades de infraestructura crítica similares en los EE. UU., según el Departamento de Justicia.

La segunda acusación, presentada en agosto de 2021, acusa a Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov y Marat Valeryevich Tyukov, todos presuntamente miembros de la unidad militar 71330 del Buró Federal de Seguridad (FSB) de Rusia, de una serie de ataques contra el sector energético entre 2012 y 2017 Más conocidos por los investigadores de seguridad como "DragonFly", "Energetic Bear" y "Crouching Yeti", los piratas informáticos intentaron obtener acceso a las redes informáticas de empresas del sector energético internacional, incluidas empresas de petróleo y gas, plantas de energía nuclear y más servicios públicos. y empresas de transmisión de energía, dijo el Departamento de Justicia.

En la primera fase de sus ataques, que tuvo lugar entre 2012 y 2014, los actores de amenazas comprometieron las redes de los fabricantes de dispositivos de control industrial y los proveedores de software, y luego ocultaron el malware Havex en las actualizaciones de software. Esto, junto con los ataques de spear phishing y watering hole, una forma de ataque que se dirige a los usuarios infectando sitios web visitados con frecuencia, permitió a los atacantes instalar malware en más de 17,000 dispositivos individuales en los Estados Unidos y en el extranjero.

La segunda fase, "DragonFly 2.0", se desarrolló entre 2014 y 2017 e incluyó la orientación a más de 3300 usuarios en más de 500 organizaciones estadounidenses e internacionales, incluida la Comisión Reguladora Nuclear del Gobierno de EE. UU. y Wolf Creek Nuclear Operating Corporation.

"Los piratas informáticos patrocinados por el estado ruso representan una amenaza grave y continua para la infraestructura crítica tanto en los Estados Unidos como en todo el mundo", dijo la fiscal general adjunta de los Estados Unidos, Lisa Monaco, en un comunicado. "Si bien las denuncias penales reveladas hoy reflejan actividades pasadas, dejan muy clara la necesidad urgente de que las empresas estadounidenses intensifiquen sus defensas y permanezcan vigilantes".

John Hultquist, vicepresidente de análisis de inteligencia de Mandiant, dijo que las acusaciones brindan información sobre el papel del FSB en los intentos de piratería patrocinados por el estado de Rusia y son un "disparo de advertencia" para los grupos de intrusos rusos que realizan estos ciberataques destructivos. "Estas acciones son personales y pretenden enviar una señal a todos los que trabajan para estos programas de que no pueden abandonar Rusia en el corto plazo", dijo.

Pero Hultquist advirtió que es probable que los piratas aún tengan acceso a esas redes. "Sorprendentemente, nunca hemos visto a este actor ejecutar ataques disruptivos, solo profundizando en la infraestructura crítica sensible para futuras contingencias", dijo a TechCrunch. "Nuestra preocupación a la luz de los recientes acontecimientos es que esta puede ser la contingencia que hemos estado esperando".

Casey Brooks, un cazador de adversarios senior en Dragos que llama al grupo detrás del malware Triton "Xenotime", dijo a TechCrunch que es poco probable que los cargos disuadan a los piratas informáticos.

“Estos grupos de actividad están bien equipados y son capaces de llevar a cabo operaciones complejas de manera continua. Si bien las acusaciones detallan las actividades de intrusión de algunos de estos grupos, su alcance es mucho más amplio", dijo Brooks. “Sabemos, por ejemplo, que para Xenotime esto es solo una fracción de su actividad general. Es importante reconocer que estos grupos todavía están activos y es probable que las acusaciones hagan poco para disuadir futuras operaciones de estos grupos opuestos”.

La revelación de las acusaciones se produjo tres días después de que el presidente Joe Biden advirtiera sobre una creciente amenaza cibernética rusa contra las empresas estadounidenses en respuesta a las sanciones occidentales contra Rusia por su invasión de Ucrania. También se produce pocos días después de que el Departamento de Justicia acusara a seis piratas informáticos que trabajaban para la agencia de inteligencia militar GRU de Rusia. Los piratas informáticos conocidos como Sandworm han sido acusados ​​de una racha de cinco años de ataques, incluido el ciberataque destructivo NotPetya que apuntó a cientos de empresas y hospitales en todo el mundo en 2017, y un ciberataque que paralizó la red eléctrica de Ucrania.

Si quieres conocer otros artículos parecidos a Estados Unidos acusa a cuatro espías rusos de piratear las instalaciones petroleras saudíes y la planta nuclear estadounidense - TechCrunch puedes visitar la categoría Noticias.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir