La investigación del FBI y el Departamento de Seguridad Nacional (DHS) de EEUU sobre el presunto sabotaje de las elecciones presidenciales en EEUU a cargo de un grupo de hackers rusos, para favorecer la victoria de Donald Trump, ha develado que esos grupos financiados por el gobierno ruso utilizaban una serie de IPs legales para atacar a gobiernos y empresas. Entre esas Ips figura la de una óptica de Salamanca, que, por supuesto, permanecía ajena a los manejos de los hacherks.
La dirección IP (Internet Protocol) es una serie de números con la que se identifica la conexión de un usuario a Internet. Cada usuario (línea de Internet) tiene su IP.
En verano de 2015, un grupo conocido como APT29, sospechoso de formar parte los equipos de ‘hackers’ en nómina del gobierno ruso, conseguía entrar en las redes de un partido político de Estados Unidos (el Demócrata). Su ‘modus operandi’ fue fácil pero efectivo: mandar mensajes de correo con un enlace malicioso a un millar de personas, entre ellas miembros del gobierno, según informa El Confidfencial.
Webs de instituciones educativas y gubernamentales con algún fallo de seguridad ayudaron a los atacantes, bien como dominios desde los que mandar los mensajes de correo para que pareciesen auténticos, bien como sitio donde albergar virus que infectarían a quien abriese el documento adjunto. Los criminales lograron su objetivo cuando una persona lo hizo, abriendo paso al código malicioso en su ordenador.
APT29 desplegó entonces sus artes de ‘hacking’: a través de esta puerta de entrada, instalaron código malicioso en las redes del partido político, consiguiendo así su control. Pudieron entonces pasearse por los ordenadores que quisieron, coger la información que se les antojó y… largarse en completo silencio.
Un año después, en primavera de 2016, otro grupo de ‘hackers’ de élite pagados por Putin y conocidos, entre otros nombres, como APT28, usaron la misma táctica para introducirse en el mismo partido político: mandaron mensajes de correo a centenares de personas pero, esta vez, usaron las webs legítimas con agujeros de seguridad para alojar allí páginas-trampa que pedían a los afectados que introdujesen sus credenciales. Estas credenciales iban directas al ‘saco’ de los ciberdelincuentes.
Con las credenciales robadas, APT28 entró en las redes del partido y exfiltró información de múltiples miembros ‘senior’. Pero, a diferencia de APT29, no la guardó y se marchó en silencio, sino que la mandó a la prensa.
Operación Oso Estepario
Hasta aquí, la narración de los hechos. Al informe lo acompañan los nombres de otros equipos supuestamente a sueldo del gobierno ruso y una lista de direcciones IP maliciosas que usarían estos grupos para atacar a gobiernos y empresas. Entre ellas, hay tres IPs españolas, dos de ellas detectadas como pertenecientes a una persona de Murcia y una óptica de Salamanca, según explica El Confidencial.
Según el reporte del FBI y el DHS, estos grupos llevarían años orquestando operaciones parecidas (a esta la han bautizado como ‘Oso Estepario’) contra organizaciones del gobierno, infraestructuras críticas, «think tanks», universidades, organizaciones políticas y corporaciones en Estados Unidos y países aliados. Lo han hecho entrando a través de correos electrónicos falsos mandados a personas que previamente han sido estudiadas para que caigan en la trampa (ataque conocido técnicamente como ‘spearphishing’).
El informe confirma los datos descubiertos por la empresa CrowdStrike a quien contrató el Partido Demócrata para que investigase las filtraciones: dos grupos supuestamente pagados por los servicios de espionaje del gobierno ruso, APT29 (conocido también como Cozy Bear y The Dukes) y APT28 (conocido también como Sednit, Sofacy, Pawn Storm y Fancy Bear), serían los responsables, con ‘modus operandis’ muy parecidos.
El informe revela lo fácil que sigue siendo engañar a personas para que pinchen en enlaces y documentos que les llegan por correo electrónico, prosigue El Confidencial.
Como le ocurrió a John Podesta, presidente de la campaña presidencial de Hillary Clinton, cuyos mails acabaron publicándose en Wikileaks.
Podesta habría recibido un mensaje de Gmail alertándole de que alguien había usado su contraseña y que debía cambiarla de inmediato. Podesta hizo caso omiso.
