Tres grupos de hackers que atacan Ucrania probablemente estén vinculados al Kremlin

Tres grupos de piratería involucrados en la guerra cibernética con Ucrania (XakNet Team, Infoccentr y CyberArmyofRussia_Reborn) probablemente estén vinculados al GRU de Rusia, según Mandiant.

Mandiant ha estado rastreando varios canales de Telegram de grupos de piratería que afirman estar asociados con la agresión cibernética contra Ucrania. Desde entonces ha surgido nueva evidencia de la conexión entre las bandas de piratas informáticos XakNet Team, Infoccentr y CyberArmyofRussia_Reborn y la administración de inteligencia militar de Rusia, GRU.

Esta conclusión se basa en el despliegue de limpiaparabrisas por parte de los grupos utilizados por APT28 patrocinado por GRU en las redes de varias organizaciones ucranianas. Más tarde, los datos que probablemente se originaron en esas organizaciones aparecieron en los canales de Telegram de los grupos.

“Los servicios de inteligencia rusos tienen un extenso historial de uso de falsos hacktivistas para apoyar operaciones de información y actividades cibernéticas perturbadoras y destructivas”, sugiere el informe.

A pesar de un relativo grado de confianza en que XakNet Team, Infoccentr y CyberArmyofRussia_Reborn están asociados con el GRU, los detalles exactos de esta asociación siguen sin estar claros. Mandiant sugiere dos posibles escenarios:

  1. Funcionan como frente directo de las operaciones del GRU, que supervisa su infraestructura y regula las actividades.
  2. Los moderadores de los canales de Telegram que publican filtraciones de datos, que no son oficiales de inteligencia rusos, pueden coordinarse directamente con el GRU, que apoya la creación de dichos canales.

XakNet Team, que es un canal de Telegram en ruso de un grupo hacktivista compuesto por “voluntarios patriotas rusos”, parece estar apoyado directamente por APT28, lo que sugiere vínculos directos con el Kremlin. También parece estar conectado con un grupo de piratas informáticos prorruso Killnet, que anteriormente lanzó ataques distribuidos de denegación de servicio (DDoS) contra Lituania y Noruega , así como contra varias instituciones y ministerios italianos .

“Evaluamos con confianza moderada que XakNet y KillNet han coordinado directamente parte de su actividad”, afirma Mandiant.

Sin embargo, XakNet Team y Killnet están involucrados en misiones “alineadas pero separadas”, aparentemente persiguiendo un objetivo similar a través de diferentes medios. Todo esto sugiere que el equipo XakNet está compuesto por oficiales de inteligencia de GRU o trabaja directamente con los operadores de GRU APT28.

CyberArmyofRussia_Reborn es otro canal de Telegram que se cree que al menos se coordina con APT28. El grupo está conectado a XakNet Team, y en un tercio de sus filtraciones de datos de Ucrania, Mandiant observó operaciones de intrusión APT28 en las mismas redes dentro de las 24 horas anteriores a las filtraciones.

Por último, un canal de Telegram, Infoccentr, también parece vinculado a XakNet Team. Está involucrado en la guerra de la información con los canales y medios de comunicación social antirrusos. El momento de sus filtraciones está en línea con esta suposición.

Mandiant dice que podría haber otros grupos hacktivistas autoproclamados con los que GRU se está coordinando.

Fuente: cybernews