Los grupos cibercriminales patrocinados por estados-nación, principalmente Rusia, China y Corea del Norte, se mantienen entre las más importantes amenazas para la ciberseguridad debido a que están perfeccionando y ampliando sus métodos de ataque.
Este tipo de ataques se originan por la competencia geopolítica y el deseo de obtener una ventaja sobre otras naciones, ya sea robando propiedad intelectual para beneficio económico, apoyar el espionaje tradicional o afectar las operaciones del país.
De acuerdo con Sandra Joyce, jefa de inteligencia de amenazas de Mandiant, uno de los países conocido por patrocinar a grupos cibercriminales es Rusia, siendo Conti o Ghostwriter algunos de los ejemplos.
La guerra con Ucrania dejó al descubierto el poder cibernético del país liderado por Vladimir Putin y cómo está utilizando nuevas tecnologías para infligir daño a sus enemigos.
“Vimos que Rusia usó código malicioso destructivo y más operaciones en los primeros cuatro meses que en los últimos ocho años”, resaltó en el marco de Google Cloud Next 2023.
Esto ocurrió en el primer periodo de la invasión a Ucrania, cuando el objetivo era causar tanta interrupción como fuera posible. Por ejemplo, a través del uso de código malicioso como HermeticWiper, IsaacWiper o RansomBoggs.
Joyce comentó que, tras los análisis hechos por Mandiant que fue adquirida por Google Cloud en 2022, este comportamiento ha disminuido y las fuerzas cibernéticas de Rusia ahora buscan generar campañas de desinformación a través de diferentes formas.
MÁS ENEMIGOS
Joyce advirtió que Rusia no debe ser la única preocupación, ya que Corea del Norte está enfocando sus ataques al robo y transferencia de criptoactivos para poder financiarse. Un ejemplo es el grupo APT 43 que roba carteras de criptomonedas y luego las usa para minar nuevas monedas digitales, de tal manera que obtiene criptoactivos limpios que no tienen conexión con la cadena de bloques original que sustrajeron.
La jefa de inteligencia de amenazas de Mandiant consideró que China también ha mejorado sustancialmente sus técnicas para realizar amenazas persistentes avanzadas contra otros países y son difíciles de rastrear.
En particular, se ha observado que sus grupos son capaces de aprovechar las vulnerabilidades día cero más rápido y aunque no han realizado ataques destructivos, no se descarta que pueda hacerlo.
“(China) ha abrazado realmente la idea de que el ciberespacio es una herramienta muy poderosa y ha creado capacidades que no tiene miedo de usar”, agregó.
OTRAS HERRAMIENTAS
A esto se añade que los grupos cibercriminales o, incluso, los propios gobiernos pueden utilizar productos desarrollados por empresas legítimas para realizar campañas, sobre todo de espionaje.
Un reporte de Cisco Talos Intelligence Group recordó que los primeros indicios de esto se obtuvieron con las filtraciones de HackingTeam en 2015 y, posteriormente, con la información revelada sobre NSO Group y su programa Pegasus.
Lamentablemente, en la actualidad hay numerosas empresas que ofrecen programas similares como Intellexa, DSIRF, Variston IT y Quadream, por nombrar algunas.
Por lo anterior, los gobiernos están tomando acciones para evitar el uso de este tipo de programas y un ejemplo fue la Orden Ejecutiva de la administración del presidente de Estados Unidos, Joe Biden, que prohíbe a los departamentos y agencias usar este tipo de software.
Pese a lo anterior, Cisco Talos no ve indicios de que estas ofertas comerciales de programas espía estén disminuyendo.
