La burda pero efectiva trampa de los piratas rusos para hackear las embajadas en Ucrania

Todo comenzó a mediados de abril, cuando un diplomático polaco envió por correo electrónico un folleto a varias embajadas con el anuncio de la venta de un coche BMW serie 5 sedán en buenas condiciones. Los piratas informáticos de Moscú conocidos como 'APT29' o 'Cozy Bear' interceptaron y copiaron ese folleto para incrustar un anuncio nuevo con software malicioso. «Se trata de un alcance asombroso para lo que suelen ser operaciones de amenazas persistentes avanzadas (APT, por sus siglas en inglés) clandestinas y de alcance limitado», dice el informe de Unit 42 Palo Alto.

En 2021 las agencias de inteligencia estadounidenses y británicas identificaron a 'APT29' como una rama del Servicio de Inteligencia Exterior de Rusia, el SVR. En abril, las autoridades polacas de contrainteligencia y ciberseguridad advirtieron de que el mismo grupo había llevado a cabo una «amplia campaña de inteligencia» contra estados miembros de la OTAN, la Unión Europea y África.

Los investigadores pudieron vincular el anuncio del coche falso con el SVR porque los piratas informáticos reutilizaron herramientas y técnicas que anteriormente se habían relacionado con la agencia de espionaje.

El diplomático polaco, que fue el primero en enviar el anuncio, se extrañó al recibir una llamada contándole que el precio le parecía «atractivo». «Cuando lo comprobé, me di cuenta de que hablaban de un importe ligeramente inferior al anunciado», explicó a Reuters.

Los piratas informáticos de SVR habían puesto el BMW del diplomático a un precio más bajo -7.500 euros- en su versión falsa del anuncio, en un intento de animar a más gente a descargar un software malicioso que les daría acceso remoto a sus dispositivos. Ese software estaba camuflado como un álbum de fotografías del BMW. Los intentos de abrir esas imágenes habrían infectado los ordenadores, según el informe. Todavía no se conoce el alcance exacto del ataque informático y a qué embajadas habría afectado.

Con anterioridad, en mayo, se detectaron numerosos ataques contra los intereses ucranianos, «ya sean financieros, estatales, individuales o empresariales», según Rob Joyce, director de Ciberseguridad de la Agencia de Seguridad norteamericana. Esta fuente desveló que hackers rusos «creativos» que cuentan con el apoyo del Estado intervienen las cámaras de circuito cerrado de televisión de los cafés ucranianos para recabar información sobre soldados que frecuentan estos establecimientos hosteleros y sobre los vehículos que transitan por las carreteras adyacentes. Con la misma técnica también se hacen con el control de las cámaras de estaciones para intentar averiguar datos sobre el paso de convoyes de ayuda.

Estas dinámicas se enmarcan en los habituales ataques de ransomware ruso en diferentes países del mundo donde numerosas empresas e instituciones de son víctimas del robo de datos relacionados con la guerra.