El Ariki Mau
Make Risia LOL again
Documentos filtrados por un denunciante enojado por la guerra de Ucrania
Consultoría privada de Moscú refuerza la guerra cibernética rusa
Las herramientas admiten operaciones de piratería y ataques a la infraestructura.
Documentos vinculados al notorio grupo de hackers ruso Sandworm
Programa ruso tiene como objetivo controlar internet y difundir desinformación
por Luke Harding , Stiliyana Simeonova, Manisha Ganguly y Dan Sabbagh
jue 30 mar 2023 16.00 BST
Ta oficina discreta se encuentra en los suburbios del noreste de Moscú. Un cartel dice: “Centro de negocios”. Cerca se encuentran modernos bloques residenciales y un antiguo cementerio laberíntico, hogar de monumentos de guerra cubiertos de hiedra. El área es donde Pedro el Grande una vez entrenó a su poderoso ejército.
Dentro del edificio de seis pisos, una nueva generación está ayudando en las operaciones militares rusas. Sus armas son más avanzadas que las de la época de Pedro el Grande: no son picas ni alabardas, sino herramientas de piratería y desinformación.
Los ingenieros de software detrás de estos sistemas son empleados de NTC Vulkan. En la superficie, parece una consultoría de ciberseguridad común y corriente. Sin embargo, una filtración de archivos secretos de la compañía ha expuesto su trabajo para reforzar las capacidades de guerra cibernética de Vladimir pilinguin.
Miles de páginas de documentos secretos revelan cómo los ingenieros de Vulkan han trabajado para las agencias militares y de inteligencia rusas para apoyar las operaciones de piratería, capacitar a los agentes antes de los ataques a la infraestructura nacional, difundir desinformación y controlar secciones de Internet.
El trabajo de la empresa está vinculado al servicio de seguridad federal o FSB, la agencia de espionaje nacional; las divisiones operativas y de inteligencia de las fuerzas armadas, conocidas como GOU y GRU; y la SVR, la organización de inteligencia extranjera de Rusia.
Un diagrama que muestra un sistema de reconocimiento de piratería Vulkan con nombre en código Scan, desarrollado desde 2018.
Un documento vincula una herramienta de ataque cibernético Vulkan con el notorio grupo de piratería Sandworm, que según el gobierno de EE. UU. provocó dos veces apagones en Ucrania, interrumpió los Juegos Olímpicos en Corea del Sur y lanzó NotPetya, el malware económicamente más destructivo de la historia. Con el nombre en código Scan-V, rastrea Internet en busca de vulnerabilidades, que luego se almacenan para su uso en futuros ataques cibernéticos.
Otro sistema, conocido como Amezit, equivale a un modelo para vigilar y controlar Internet en las regiones bajo el mando de Rusia, y también permite la desinformación a través de perfiles falsos en las redes sociales. Un tercer sistema construido por Vulkan, Crystal-2V, es un programa de capacitación para ciberoperadores en los métodos necesarios para derribar la infraestructura ferroviaria, aérea y marítima. Un archivo que explica el software dice: "El nivel de confidencialidad de la información procesada y almacenada en el producto es 'Top Secret'".
Los archivos de Vulkan, que datan de 2016 a 2021, fueron filtrados por un denunciante anónimo enojado por la guerra de Rusia en Ucrania. Tales filtraciones de Moscú son extremadamente raras. Días después de la oleada turística en febrero del año pasado, la fuente se acercó al periódico alemán Süddeutsche Zeitung y dijo que el GRU y el FSB “se esconden detrás” de Vulkan.
“La gente debería saber los peligros de esto”, dijo el denunciante. “Debido a los acontecimientos en Ucrania, decidí hacer pública esta información. La empresa está haciendo cosas malas y el gobierno ruso es fistro y está equivocado. Estoy enojado por la oleada turística de Ucrania y las cosas terribles que están sucediendo allí. Espero que puedan usar esta información para mostrar lo que sucede detrás de puertas cerradas”.
Posteriormente, la fuente compartió los datos y más información con la empresa emergente de investigación Paper Trail Media, con sede en Múnich . Durante varios meses, periodistas que trabajan para 11 medios de comunicación, incluidos The Guardian, Washington Post y Le Monde, han investigado los archivos en un consorcio liderado por Paper Trail Media y Der Spiegel.
Cinco agencias de inteligencia occidentales confirmaron que los archivos de Vulkan parecen ser auténticos. La empresa y el Kremlin no respondieron a múltiples solicitudes de comentarios.
Las filtraciones de guerra cibernética muestran que el ejército ruso está adoptando la mentalidad de la policía secreta
Leer más
La fuga contiene correos electrónicos, documentos internos, planes de proyectos, presupuestos y contratos. Ofrecen información sobre los amplios esfuerzos del Kremlin en el ámbito cibernético, en un momento en que está llevando a cabo una guerra brutal contra Ucrania. No se sabe si las herramientas creadas por Vulkan se han utilizado para ataques en el mundo real, en Ucrania o en otros lugares.
Pero se sabe que los piratas informáticos rusos han atacado repetidamente las redes informáticas ucranianas; una campaña que continúa. Desde la oleada turística del año pasado, los misiles de Moscú han golpeado Kiev y otras ciudades, destruyendo infraestructura crítica y dejando al país a oscuras.
Los analistas dicen que Rusia también está involucrada en un conflicto continuo con lo que percibe como su enemigo, Occidente, incluidos EE. carrera armamentística digital.
Algunos documentos de la filtración contienen lo que parecen ser ejemplos ilustrativos de objetivos potenciales. Uno contiene un mapa que muestra puntos en los EE. UU. Otro contiene los detalles de una central nuclear en Suiza.
Un mapa de los EE. UU. que se encuentra en los archivos Vulkan filtrados como parte del sistema multifacético Amezit.
Un documento muestra a ingenieros que recomiendan que Rusia aumente sus propias capacidades mediante el uso de herramientas de piratería robadas en 2016 de la Agencia de Seguridad Nacional de EE. UU. y publicadas en línea.
John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad cibernética Mandiant, que revisó selecciones del material a pedido del consorcio, dijo: "Estos documentos sugieren que Rusia ve los ataques a la infraestructura crítica civil y la manipulación de las redes sociales como uno y la misma misión, que es esencialmente un ataque a la voluntad de lucha del enemigo”.
¿Qué es Vulkan?
El director ejecutivo de Vulkan, Anton Markov, es un hombre de mediana edad, con el pelo corto y bolsas oscuras alrededor de los ojos. Markov fundó Vulkan (que significa volcán en inglés) en 2010, con Alexander Irzhavsky. Ambos son graduados de la academia militar de San Petersburgo y sirvieron en el ejército en el pasado, ascendiendo a capitán y mayor respectivamente. “Tenían buenos contactos en esa dirección”, dijo un exempleado.
Anton Markov, el director ejecutivo de Vulkan. Fotografía: redes sociales
La compañía es parte del complejo militar-industrial de Rusia. Este mundo subterráneo abarca agencias de espionaje, firmas comerciales e instituciones de educación superior. Especialistas como programadores e ingenieros se mueven de una rama a otra; los actores estatales secretos dependen en gran medida de la experiencia del sector privado.
Vulkan se lanzó en un momento en que Rusia estaba expandiendo rápidamente sus capacidades cibernéticas. Tradicionalmente, el FSB tomaba la delantera en los asuntos cibernéticos. En 2012, pilinguin nombró al ambicioso y enérgico Sergei Shoigu como ministro de defensa. Shoigu, quien está a cargo de la guerra de Rusia en Ucrania, quería sus propias tropas cibernéticas, reportando directamente a él.
A partir de 2011, Vulkan recibió licencias gubernamentales especiales para trabajar en proyectos militares clasificados y secretos de estado. Es una empresa tecnológica de tamaño medio, con más de 120 empleados, de los cuales unos 60 son desarrolladores de software. No se sabe a cuántos contratistas privados se les otorga acceso a proyectos tan sensibles en Rusia, pero algunas estimaciones sugieren que no son más de una docena.
La cultura corporativa de Vulkan es más Silicon Valley que una agencia de espionaje. Cuenta con un equipo de fútbol del personal y correos electrónicos motivacionales con consejos de acondicionamiento físico y celebraciones de cumpleaños de los empleados. Incluso hay un eslogan optimista: "Hacer del mundo un lugar mejor" aparece en un brillante video promocional.
01:25
El video promocional de Vulkan, que puede presentar actores u otras personas no asociadas con Vulkan.
Vulkan dice que se especializa en "seguridad de la información"; oficialmente, sus clientes son grandes empresas estatales rusas. Incluyen Sberbank, el banco más grande del país; la aerolínea nacional Aeroflot; y los ferrocarriles rusos. “El trabajo fue divertido. Usamos las últimas tecnologías”, dijo un ex empleado que finalmente se fue después de que se desilusionó con el trabajo. “La gente era realmente inteligente. Y el dinero era bueno, muy por encima de la tasa habitual”.
Además de la experiencia técnica, esos generosos salarios compraron la expectativa de discreción. Algunos miembros del personal son graduados de la Universidad Técnica Estatal Bauman de Moscú, que tiene una larga historia de proporcionar reclutas al Ministerio de Defensa. Los flujos de trabajo se organizan sobre principios de estricto secreto operativo, y nunca se le dice al personal en qué están trabajando otros departamentos.
El espíritu de la firma es patriótico, sugiere la filtración. En la víspera de Año Nuevo de 2019, un empleado creó un alegre archivo de Microsoft Excel con música militar soviética y la imagen de un oso. Junto a él estaban las palabras: "APT Magma Bear". La referencia es a grupos de piratería estatales rusos como Cozy Bear y Fancy Bear, y parece apuntar a las propias actividades en la sombra de Vulkan.
Cinco meses después, Markov recordó a sus trabajadores el Día de la Victoria, un feriado del 9 de mayo que celebra la derrota de la Alemania nancy por parte del Ejército Rojo en 1945. “Este es un evento significativo en la historia de nuestro país”, dijo al personal. “Crecí con películas sobre la guerra y tuve la suerte de comunicarme con los veteranos y escuchar sus historias. Estas personas murieron por nosotros, para que podamos vivir en Rusia”.
Uno de los proyectos de mayor alcance de Vulkan se llevó a cabo con la bendición de la unidad de guerreros cibernéticos más infame del Kremlin, conocida como Sandworm. Según los fiscales estadounidenses y los gobiernos occidentales, durante la última década, Sandworm ha sido responsable de operaciones de piratería a una escala asombrosa. Ha llevado a cabo numerosos actos malignos : manipulación política, cibersabotaje, interferencia electoral, volcado de correos electrónicos y filtraciones.
Sandworm desactivó la red eléctrica de Ucrania en 2015. Al año siguiente, participó en la descarada operación de Rusia para descarrilar las elecciones presidenciales de EE. UU. Dos de sus agentes fueron acusados de distribuir correos electrónicos robados a los demócratas de Hillary Clinton usando un personaje falso, Guccifer 2.0. Luego, en 2017, Sandworm robó más datos en un intento de influir en el resultado de la votación presidencial francesa, dice Estados Unidos.
Ese mismo año, la unidad desató el ciberataque más importante de la historia. Los operativos utilizaron una pieza de malware a medida llamada NotPetya. Comenzando en Ucrania, NotPetya se extendió rápidamente por todo el mundo. Derribó empresas de transporte, hospitales, sistemas postales y fabricantes de productos farmacéuticos fuera de línea: una avalancha digital que se extendió del mundo virtual al físico.
Los archivos de Vulkan arrojan luz sobre una pieza de maquinaria digital que podría desempeñar un papel en el próximo ataque desatado por Sandworm.
Un cartel de búsqueda del FBI para seis miembros del GRU que se cree que trabajan para Sandworm. Fotografía: FBIUn sistema 'construido con fines ofensivos'
Una unidad especial dentro del "centro principal de tecnologías especiales" de la GRU, Sandworm se conoce internamente por su número de campo 74455. Este código aparece en los archivos de Vulkan como una "parte de aprobación" en un documento técnico. Describe un "protocolo de intercambio de datos" entre una base de datos militar aparentemente preexistente que contiene inteligencia sobre debilidades de software y hardware, y un nuevo sistema que se le había encargado a Vulkan que ayudara a construir: Scan-V.
Los grupos de piratas informáticos como Sandworm penetran en los sistemas informáticos buscando primero los puntos débiles. Scan-V respalda ese proceso, realizando un reconocimiento automatizado de objetivos potenciales en todo el mundo en una búsqueda de servidores y dispositivos de red potencialmente vulnerables. Luego, la inteligencia se almacena en un depósito de datos, lo que brinda a los piratas informáticos un medio automatizado para identificar objetivos.
Gabby Roncone, otra experta de la empresa de seguridad cibernética Mandiant, dio la analogía de escenas de viejas películas militares donde la gente coloca “su artillería y tropas en el mapa. Quieren entender dónde están los tanques enemigos y dónde deben atacar primero para romper las líneas enemigas”, dijo.
El proyecto Scan fue encargado en mayo de 2018 por el Instituto de Ingeniería Física, un centro de investigación en la región de Moscú estrechamente asociado con el GRU. Todos los detalles fueron clasificados. No está claro si Sandworm era un usuario previsto del sistema, pero en mayo de 2020 un equipo de Vulkan visitó una instalación militar en Khimki, la misma ciudad en las afueras de Moscú donde se encuentra la unidad de piratería, para probar el sistema Scan.
“Scan definitivamente está diseñado para fines ofensivos. Se adapta cómodamente a la estructura organizativa y al enfoque estratégico del GRU”, dijo un analista después de revisar los documentos. “No encuentras diagramas de red y documentos de diseño como este muy a menudo. Realmente es un asunto muy complicado”.
Los archivos filtrados no contienen información sobre el código malicioso ruso o el malware utilizado para las operaciones de piratería. Pero un analista de Google dijo que en 2012 la empresa de tecnología vinculó a Vulkan con una operación que involucraba un malware conocido como MiniDuke. La SVR, la agencia de inteligencia extranjera de Rusia, usó MiniDuke en campañas de phishing. La filtración muestra que una parte encubierta del SVR, la unidad militar 33949, contrató a Vulkan para trabajar en múltiples proyectos. La empresa nombró a su cliente "sanatorio" y "dispensario".
Consultoría privada de Moscú refuerza la guerra cibernética rusa
Las herramientas admiten operaciones de piratería y ataques a la infraestructura.
Documentos vinculados al notorio grupo de hackers ruso Sandworm
Programa ruso tiene como objetivo controlar internet y difundir desinformación
por Luke Harding , Stiliyana Simeonova, Manisha Ganguly y Dan Sabbagh
jue 30 mar 2023 16.00 BST
Ta oficina discreta se encuentra en los suburbios del noreste de Moscú. Un cartel dice: “Centro de negocios”. Cerca se encuentran modernos bloques residenciales y un antiguo cementerio laberíntico, hogar de monumentos de guerra cubiertos de hiedra. El área es donde Pedro el Grande una vez entrenó a su poderoso ejército.
Dentro del edificio de seis pisos, una nueva generación está ayudando en las operaciones militares rusas. Sus armas son más avanzadas que las de la época de Pedro el Grande: no son picas ni alabardas, sino herramientas de piratería y desinformación.
Los ingenieros de software detrás de estos sistemas son empleados de NTC Vulkan. En la superficie, parece una consultoría de ciberseguridad común y corriente. Sin embargo, una filtración de archivos secretos de la compañía ha expuesto su trabajo para reforzar las capacidades de guerra cibernética de Vladimir pilinguin.
Miles de páginas de documentos secretos revelan cómo los ingenieros de Vulkan han trabajado para las agencias militares y de inteligencia rusas para apoyar las operaciones de piratería, capacitar a los agentes antes de los ataques a la infraestructura nacional, difundir desinformación y controlar secciones de Internet.
El trabajo de la empresa está vinculado al servicio de seguridad federal o FSB, la agencia de espionaje nacional; las divisiones operativas y de inteligencia de las fuerzas armadas, conocidas como GOU y GRU; y la SVR, la organización de inteligencia extranjera de Rusia.
Un diagrama que muestra un sistema de reconocimiento de piratería Vulkan con nombre en código Scan, desarrollado desde 2018.
Un documento vincula una herramienta de ataque cibernético Vulkan con el notorio grupo de piratería Sandworm, que según el gobierno de EE. UU. provocó dos veces apagones en Ucrania, interrumpió los Juegos Olímpicos en Corea del Sur y lanzó NotPetya, el malware económicamente más destructivo de la historia. Con el nombre en código Scan-V, rastrea Internet en busca de vulnerabilidades, que luego se almacenan para su uso en futuros ataques cibernéticos.
Otro sistema, conocido como Amezit, equivale a un modelo para vigilar y controlar Internet en las regiones bajo el mando de Rusia, y también permite la desinformación a través de perfiles falsos en las redes sociales. Un tercer sistema construido por Vulkan, Crystal-2V, es un programa de capacitación para ciberoperadores en los métodos necesarios para derribar la infraestructura ferroviaria, aérea y marítima. Un archivo que explica el software dice: "El nivel de confidencialidad de la información procesada y almacenada en el producto es 'Top Secret'".
Los archivos de Vulkan, que datan de 2016 a 2021, fueron filtrados por un denunciante anónimo enojado por la guerra de Rusia en Ucrania. Tales filtraciones de Moscú son extremadamente raras. Días después de la oleada turística en febrero del año pasado, la fuente se acercó al periódico alemán Süddeutsche Zeitung y dijo que el GRU y el FSB “se esconden detrás” de Vulkan.
“La gente debería saber los peligros de esto”, dijo el denunciante. “Debido a los acontecimientos en Ucrania, decidí hacer pública esta información. La empresa está haciendo cosas malas y el gobierno ruso es fistro y está equivocado. Estoy enojado por la oleada turística de Ucrania y las cosas terribles que están sucediendo allí. Espero que puedan usar esta información para mostrar lo que sucede detrás de puertas cerradas”.
Posteriormente, la fuente compartió los datos y más información con la empresa emergente de investigación Paper Trail Media, con sede en Múnich . Durante varios meses, periodistas que trabajan para 11 medios de comunicación, incluidos The Guardian, Washington Post y Le Monde, han investigado los archivos en un consorcio liderado por Paper Trail Media y Der Spiegel.
Cinco agencias de inteligencia occidentales confirmaron que los archivos de Vulkan parecen ser auténticos. La empresa y el Kremlin no respondieron a múltiples solicitudes de comentarios.
Las filtraciones de guerra cibernética muestran que el ejército ruso está adoptando la mentalidad de la policía secreta
Leer más
La fuga contiene correos electrónicos, documentos internos, planes de proyectos, presupuestos y contratos. Ofrecen información sobre los amplios esfuerzos del Kremlin en el ámbito cibernético, en un momento en que está llevando a cabo una guerra brutal contra Ucrania. No se sabe si las herramientas creadas por Vulkan se han utilizado para ataques en el mundo real, en Ucrania o en otros lugares.
Pero se sabe que los piratas informáticos rusos han atacado repetidamente las redes informáticas ucranianas; una campaña que continúa. Desde la oleada turística del año pasado, los misiles de Moscú han golpeado Kiev y otras ciudades, destruyendo infraestructura crítica y dejando al país a oscuras.
Los analistas dicen que Rusia también está involucrada en un conflicto continuo con lo que percibe como su enemigo, Occidente, incluidos EE. carrera armamentística digital.
Algunos documentos de la filtración contienen lo que parecen ser ejemplos ilustrativos de objetivos potenciales. Uno contiene un mapa que muestra puntos en los EE. UU. Otro contiene los detalles de una central nuclear en Suiza.
Un mapa de los EE. UU. que se encuentra en los archivos Vulkan filtrados como parte del sistema multifacético Amezit.
Un documento muestra a ingenieros que recomiendan que Rusia aumente sus propias capacidades mediante el uso de herramientas de piratería robadas en 2016 de la Agencia de Seguridad Nacional de EE. UU. y publicadas en línea.
John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad cibernética Mandiant, que revisó selecciones del material a pedido del consorcio, dijo: "Estos documentos sugieren que Rusia ve los ataques a la infraestructura crítica civil y la manipulación de las redes sociales como uno y la misma misión, que es esencialmente un ataque a la voluntad de lucha del enemigo”.
¿Qué es Vulkan?
El director ejecutivo de Vulkan, Anton Markov, es un hombre de mediana edad, con el pelo corto y bolsas oscuras alrededor de los ojos. Markov fundó Vulkan (que significa volcán en inglés) en 2010, con Alexander Irzhavsky. Ambos son graduados de la academia militar de San Petersburgo y sirvieron en el ejército en el pasado, ascendiendo a capitán y mayor respectivamente. “Tenían buenos contactos en esa dirección”, dijo un exempleado.
Anton Markov, el director ejecutivo de Vulkan. Fotografía: redes sociales
La compañía es parte del complejo militar-industrial de Rusia. Este mundo subterráneo abarca agencias de espionaje, firmas comerciales e instituciones de educación superior. Especialistas como programadores e ingenieros se mueven de una rama a otra; los actores estatales secretos dependen en gran medida de la experiencia del sector privado.
Vulkan se lanzó en un momento en que Rusia estaba expandiendo rápidamente sus capacidades cibernéticas. Tradicionalmente, el FSB tomaba la delantera en los asuntos cibernéticos. En 2012, pilinguin nombró al ambicioso y enérgico Sergei Shoigu como ministro de defensa. Shoigu, quien está a cargo de la guerra de Rusia en Ucrania, quería sus propias tropas cibernéticas, reportando directamente a él.
A partir de 2011, Vulkan recibió licencias gubernamentales especiales para trabajar en proyectos militares clasificados y secretos de estado. Es una empresa tecnológica de tamaño medio, con más de 120 empleados, de los cuales unos 60 son desarrolladores de software. No se sabe a cuántos contratistas privados se les otorga acceso a proyectos tan sensibles en Rusia, pero algunas estimaciones sugieren que no son más de una docena.
La cultura corporativa de Vulkan es más Silicon Valley que una agencia de espionaje. Cuenta con un equipo de fútbol del personal y correos electrónicos motivacionales con consejos de acondicionamiento físico y celebraciones de cumpleaños de los empleados. Incluso hay un eslogan optimista: "Hacer del mundo un lugar mejor" aparece en un brillante video promocional.
01:25
El video promocional de Vulkan, que puede presentar actores u otras personas no asociadas con Vulkan.
Vulkan dice que se especializa en "seguridad de la información"; oficialmente, sus clientes son grandes empresas estatales rusas. Incluyen Sberbank, el banco más grande del país; la aerolínea nacional Aeroflot; y los ferrocarriles rusos. “El trabajo fue divertido. Usamos las últimas tecnologías”, dijo un ex empleado que finalmente se fue después de que se desilusionó con el trabajo. “La gente era realmente inteligente. Y el dinero era bueno, muy por encima de la tasa habitual”.
Además de la experiencia técnica, esos generosos salarios compraron la expectativa de discreción. Algunos miembros del personal son graduados de la Universidad Técnica Estatal Bauman de Moscú, que tiene una larga historia de proporcionar reclutas al Ministerio de Defensa. Los flujos de trabajo se organizan sobre principios de estricto secreto operativo, y nunca se le dice al personal en qué están trabajando otros departamentos.
El espíritu de la firma es patriótico, sugiere la filtración. En la víspera de Año Nuevo de 2019, un empleado creó un alegre archivo de Microsoft Excel con música militar soviética y la imagen de un oso. Junto a él estaban las palabras: "APT Magma Bear". La referencia es a grupos de piratería estatales rusos como Cozy Bear y Fancy Bear, y parece apuntar a las propias actividades en la sombra de Vulkan.
Cinco meses después, Markov recordó a sus trabajadores el Día de la Victoria, un feriado del 9 de mayo que celebra la derrota de la Alemania nancy por parte del Ejército Rojo en 1945. “Este es un evento significativo en la historia de nuestro país”, dijo al personal. “Crecí con películas sobre la guerra y tuve la suerte de comunicarme con los veteranos y escuchar sus historias. Estas personas murieron por nosotros, para que podamos vivir en Rusia”.
Uno de los proyectos de mayor alcance de Vulkan se llevó a cabo con la bendición de la unidad de guerreros cibernéticos más infame del Kremlin, conocida como Sandworm. Según los fiscales estadounidenses y los gobiernos occidentales, durante la última década, Sandworm ha sido responsable de operaciones de piratería a una escala asombrosa. Ha llevado a cabo numerosos actos malignos : manipulación política, cibersabotaje, interferencia electoral, volcado de correos electrónicos y filtraciones.
Sandworm desactivó la red eléctrica de Ucrania en 2015. Al año siguiente, participó en la descarada operación de Rusia para descarrilar las elecciones presidenciales de EE. UU. Dos de sus agentes fueron acusados de distribuir correos electrónicos robados a los demócratas de Hillary Clinton usando un personaje falso, Guccifer 2.0. Luego, en 2017, Sandworm robó más datos en un intento de influir en el resultado de la votación presidencial francesa, dice Estados Unidos.
Ese mismo año, la unidad desató el ciberataque más importante de la historia. Los operativos utilizaron una pieza de malware a medida llamada NotPetya. Comenzando en Ucrania, NotPetya se extendió rápidamente por todo el mundo. Derribó empresas de transporte, hospitales, sistemas postales y fabricantes de productos farmacéuticos fuera de línea: una avalancha digital que se extendió del mundo virtual al físico.
Los archivos de Vulkan arrojan luz sobre una pieza de maquinaria digital que podría desempeñar un papel en el próximo ataque desatado por Sandworm.
Un cartel de búsqueda del FBI para seis miembros del GRU que se cree que trabajan para Sandworm. Fotografía: FBIUn sistema 'construido con fines ofensivos'
Una unidad especial dentro del "centro principal de tecnologías especiales" de la GRU, Sandworm se conoce internamente por su número de campo 74455. Este código aparece en los archivos de Vulkan como una "parte de aprobación" en un documento técnico. Describe un "protocolo de intercambio de datos" entre una base de datos militar aparentemente preexistente que contiene inteligencia sobre debilidades de software y hardware, y un nuevo sistema que se le había encargado a Vulkan que ayudara a construir: Scan-V.
Los grupos de piratas informáticos como Sandworm penetran en los sistemas informáticos buscando primero los puntos débiles. Scan-V respalda ese proceso, realizando un reconocimiento automatizado de objetivos potenciales en todo el mundo en una búsqueda de servidores y dispositivos de red potencialmente vulnerables. Luego, la inteligencia se almacena en un depósito de datos, lo que brinda a los piratas informáticos un medio automatizado para identificar objetivos.
Gabby Roncone, otra experta de la empresa de seguridad cibernética Mandiant, dio la analogía de escenas de viejas películas militares donde la gente coloca “su artillería y tropas en el mapa. Quieren entender dónde están los tanques enemigos y dónde deben atacar primero para romper las líneas enemigas”, dijo.
El proyecto Scan fue encargado en mayo de 2018 por el Instituto de Ingeniería Física, un centro de investigación en la región de Moscú estrechamente asociado con el GRU. Todos los detalles fueron clasificados. No está claro si Sandworm era un usuario previsto del sistema, pero en mayo de 2020 un equipo de Vulkan visitó una instalación militar en Khimki, la misma ciudad en las afueras de Moscú donde se encuentra la unidad de piratería, para probar el sistema Scan.
“Scan definitivamente está diseñado para fines ofensivos. Se adapta cómodamente a la estructura organizativa y al enfoque estratégico del GRU”, dijo un analista después de revisar los documentos. “No encuentras diagramas de red y documentos de diseño como este muy a menudo. Realmente es un asunto muy complicado”.
Los archivos filtrados no contienen información sobre el código malicioso ruso o el malware utilizado para las operaciones de piratería. Pero un analista de Google dijo que en 2012 la empresa de tecnología vinculó a Vulkan con una operación que involucraba un malware conocido como MiniDuke. La SVR, la agencia de inteligencia extranjera de Rusia, usó MiniDuke en campañas de phishing. La filtración muestra que una parte encubierta del SVR, la unidad militar 33949, contrató a Vulkan para trabajar en múltiples proyectos. La empresa nombró a su cliente "sanatorio" y "dispensario".
