Por Frank Bajak - The Associated Press
Microsoft anunció el sábado por la noche que decenas de sistemas informáticos en diversas agencias gubernamentales ucranianas han sido infectados con programas maliciosos, disfrazados de ransomware, una revelación que sugiere que el ataque previo contra los sitios web oficiales solo fue una distracción.
Aún no se ha definido el alcance de los daños.
El ataque se produce en medio de la crisis por la amenaza de una invasión rusa en Ucrania y mientras las conversaciones diplomáticas para resolver el tenso enfrentamiento parecen estancadas.
Microsoft dijo en una breve publicación que hacía el anuncio para alertar a la industria informática que detectó el malware por primera vez el jueves. Este incidente coincide con el ataque que simultáneamente desconectó temporalmente unos 70 sitios web gubernamentales.
Microsoft se pronunció sobre la situación en Ucrania, luego de que la agencia noticiosa Reuters publicó un reportaje que citaba a un alto funcionario de seguridad ucraniano que afirmaba que la caída de las páginas oficiales buscaba encubrir un ataque malicioso.
Además, un alto ejecutivo de seguridad cibernética del sector privado en Kiev le dijo a The Associated Press cómo se ejecutó el ataque: los intrusos penetraron las redes gubernamentales a través de un proveedor de software compartido, algo muy parecido al ciberespionaje ruso SolarWinds 2020 dirigido contra el Gobierno de Estados Unidos.
Microsoft dijo en una publicación técnica que los sistemas afectados "abarcan múltiples organizaciones gubernamentales, sin fines de lucro y de tecnología de la información". La empresa afirmó que, en ese momento, no sabía cuántas organizaciones en Ucrania o en otros lugares podrían verse afectadas, pero dijo que preveía la detección de más ataques.
"El malware está disfrazado de ransomware pero, si el atacante lo activa, dejaría inoperable el sistema informático infectado", dijo Microsoft. En resumen, no hay un mecanismo de recuperación de rescate.
Microsoft dijo que el malware "se ejecuta cuando se apaga un dispositivo asociado", una reacción inicial típica ante un ataque de ransomware.
La empresa afirma que aún no puede evaluar la intención de la actividad destructiva o asociar el ataque con ningún atacante conocido. El funcionario de seguridad ucraniano, Serhiy Demedyuk, fue citado por Reuters diciendo que los atacantes usaron un malware similar al que usa la inteligencia rusa. Demedyuk es subsecretario del Consejo de Seguridad y Defensa Nacional.
Luego de realizar una investigación preliminar, el Servicio de Seguridad de Ucrania, el SBU, responsabiliza a "grupos de piratas informáticos vinculados a los servicios de inteligencia de Rusia". Moscú ha negado su participación en los ataques cibernéticos contra Ucrania.
Las tensiones han aumentado en las últimas semanas, luego de que Rusia desplegó unos 100,000 soldados cerca de la frontera con Ucrania. Los expertos dicen que esperan que cualquier invasión tenga un componente cibernético porque es una parte integral de la guerra "híbrida" moderna.
Demedyuk dijo a Reuters en comentarios escritos que la caída de las páginas oficiales "solo fue una distracción para ejecutar acciones más destructivas y cuyas consecuencias serán evidentes en un futuro cercano".
Oleh Derevianko, un destacado experto del sector privado y fundador de la firma de ciberseguridad ISSP, dijo a la AP que no sabía qué tan grave era el daño. También afirma que se desconoce el alcance de los daños, luego de que los atacantes irrumpieron en KitSoft, el desarrollador usado para sembrar el malware.
En 2017, Rusia afectó a los sistemas ucranianos con uno de los ataques cibernéticos más dañinos registrados con el virus NotPetya, que causó daños por más de 10.000 millones de dólares en todo el mundo. Ese virus, que también estaba disfrazado de ransomware, borraba redes enteras.
Durante mucho tiempo, Ucrania ha sido un escenario de pruebas para los ciberconflictos. Los piratas informáticos respaldados por Rusia casi frustraron sus elecciones nacionales de 2014 y paralizaron brevemente algunos sectores de su red eléctrica durante los inviernos de 2015 y 2016.
Durante el ataque masivo del viernes, los atacantes dejaron un mensaje en el que decían que habían destruido los datos y los habían liberado en línea, algo que las autoridades ucranianas negaron.
El mensaje les decía a los ucranianos que "tuvieran miedo y esperaran lo peor".
Los profesionales de ciberseguridad ucranianos han fortalecido las defensas de la infraestructura crítica desde 2017, con asesoría estadounidense y una inversión de más de 40 millones de dólares. Los funcionarios están particularmente preocupados por los ataques rusos contra la red eléctrica, la red ferroviaria y el banco central.