El uso de ataques de phishing en la invasión de Rusia a Ucrania para crear desinformación

Ucrania ha denunciado esta semana que ciberatacantes rusos se han hecho con el control de varias páginas de administraciones locales y regionales para difundir desinformación sobre una supuesta rendición por parte del gobierno ucraniano. En línea con estos ataques, ha afirmado también que parte de su personal militar lleva días recibiendo emails que buscan hacerse con el control de las cuentas para lanzar ataques de phishing en cadena. De estos mismos ataques ha alertado Meta (Facebook), así como otras firmas de ciberseguridad que han analizado las direcciones de correo electrónico denunciadas por las autoridades ucranianas.

Ucrania denuncia hackeos para difundir desinformación sobre una supuesta rendición

El Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP) alertó en su perfil de Twitter que "el enemigo" había conseguido entrar "en algunas páginas de gobiernos locales y autoridades regionales" y había difundido "mentiras" sobre una supuesta "rendición y una firma de un tratado de paz con Rusia". La institución afirma que es un bulo.

 También el Servicio de Seguridad de Ucrania publicó la alerta en su perfil, además de advertir que esa misma desinformación se estaba diseminando por canales de Telegram y que algunos de ellos están controlados por las Fuerzas Armadas de Rusia.

A través de esta plataforma responde el Parlamento de Ucrania a estos ataques desinformadores, que también se difundieron por medios de comunicación del país: "El Centro de Lucha contra la Desinformación de la RNBO de Ucrania confirma que en Kherson, los ocupantes han tomado los locales de la empresa de radio y televisión 'Spilnoe Movlenie: Kherson'".

Ataques de phishing para hacerse con cuentas oficiales

Estos ataques se producen tras una oleada de casos de phishing detectados por el Equipo de Respuesta de Emergencias Computacionales de Ucrania (CERT-UA, por sus siglas en inglés: "Se han detectado emails masivos con phishing dirigidos a cuentas privadas de 'i.ua' y 'meta.ua' de personal militar de Ucrania e individuos relacionados. Una vez que se ha vulnerado una cuenta, los atacantes (...) consiguen acceder a todos los mensajes. Después, usan los detalles de los contactos de la agenda de la víctima para continuar enviando emails con phishing", alertan en su página de Facebook. 

"¡Querido usuario! Su información de contacto o no es un bot de spam. Por favor, haga clic en el enlace que aparece debajo y verifique su información de contacto. Si no, su cuenta será eliminada irrevocablemente. Gracias por su comprensión. Saludos, el equipo de I.UA". Este es el mensaje que han recibido militares de Ucrania, según el CERT-UA. I.UA es un medio de información ucraniano.

En este caso, las autoridades ucranianas aseguran que han podido identificar que los ataques proceden de Bielorrusia.

El Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania lleva alertando de ataques de phishing contra ciudadanos desde el día siguiente a que Rusia diera comienzo a la invasión. Ya el 25 de febrero, esta institución alertaba de una campaña de emails con archivos maliciosos de "naturaleza incierta".

Como recomendación, el SSSCIP avisa de que "nunca se abran los contenidos de archivos y mensajes de este tipo" y anima a los ciudadanos a emplear medidas de "ciberhigiene".

Meta (Facebook) e investigadores de ciberseguridad denuncian también casos de phishing

También Meta (Facebook) afirma haber identificado estos ataques: "Hemos visto un aumento en los ataques dirigidos a personas en Ucrania, incluidas figuras públicas y personal militar, a través de Ghostwriter, un vector de amenaza al que la comunidad de seguridad lleva tiempo siguiéndole la pista", explicaban cargos de seguridad de la empresa en una publicación en su blog oficial.

"Ghostwriter normalmente se usa contra las personas comprometido su email y luego usando ese acceso para hacerse con las cuentas de las redes sociales para publicar desinformación como si proviniese de los dueños legítimos de estos perfiles", explican sobre este vector de ataque. Informa en la misma publicación que han bloqueado cuentas que creen que han sido comprometidas y que se dedicaban a publicar vídeos de supuestos soldados ucranianos que salían de un bosque con una bandera blanca de rendición. 

También recoge Reuters que el jefe de una firma de ciberseguridad estadounidense llamada Mandiant afirma haber revisado esta alerta del gobierno ucraniano e identificado ataques de un grupo de ciberdelincuentes que ya se había vinculado a Bielorrusia en el pasado y que identificaron como UNC1151: "Estas acciones de UNC1151, que creemos que están vinculados a los militares bielorrusos, son preocupantes porque los datos personales de los ciudadanos y militares ucranianos pueden ser explotados en un escenario de ocupación", dijo a la agencia británica.

Esta misma semana, otra empresa de ciberseguridad, Proofpoint, también ha emitido un informe analizando un correo electrónico que había sido enviado a ciudadanos ucranianos y que contenía un archivo malicioso como el que denunciaba el gobierno ucraniano el 25 de febrero. Concluyeron que se trataba de la misma campaña tras analizar la dirección del remitente.

La denuncia del CERT-UA también la ha analizado RiskIQ, una subsidiaria de Microsoft dedicada al análisis de ciberamenazas. Aseguran haber identificado tres docenas de direcciones de correos electrónicos ligadas a la campaña que ha denunciado el gobierno ucraniano dedicadas a propagar ataques de phishing.