Operaciones cibernéticas se ajustan al largo plazo y aprovechan el cansancio provocado por la guerra

Desde julio de 2023, agentes de influencia alineados con Rusia han engañado a famosos de Estados Unidos para que proporcionaran mensajes de vídeo que luego se utilizaron en propaganda prorrusa. Dichos vídeos se manipularon para presentar al presidente ucraniano, Volodymyr Zelensky, como un drogadicto. Se trata de una de las conclusiones del último informe semestral sobre amenazas digitales rusas del Microsoft Threat Analysis Center: «Los actores de amenazas rusas se atrincheran y se preparan para aprovechar el desgaste de la guerra».

Operaciones cibernéticas se ajustan al largo plazo y aprovechan el cansancio provocado por la guerra

Como se describe en el informe, esta campaña se alinea con los esfuerzos estratégicos del gobierno ruso durante el período de marzo a octubre de 2023. En este tiempo, se realizaron varias ciberoperaciones y de influencia (IO) para detener los avances militares ucranianos y reducir el apoyo a Kiev.

Vídeos de famosos estadounidenses se utilizan en la propaganda rusa

Al parecer, se pidió a diversos famosos estadounidenses, probablemente a través de plataformas de mensajes de vídeo como Cameo, que enviaran un mensaje a alguien llamado «Vladimir» rogándole que buscara ayuda para combatir el abuso de drogas. Los vídeos se modificaron para incluir emojis, enlaces e incluso logotipos de medios de comunicación.

Estos mensajes se difundieron a través de las redes sociales para promover las falsas afirmaciones, por parte de Rusia, de que el líder ucraniano tiene problemas de drogadicción. El Centro de Análisis de Amenazas de Microsoft ha observado siete vídeos de este tipo desde finales de julio de 2023, en ellos aparecen personalidades como Priscilla Presley, el músico Shavo Odadjian y los actores Elijah Wood, Dean Norris, Kate Flannery y John McGinley.

Muestras de los vídeos de propaganda prorrusa destinados a difamar al Presidente ucraniano Volodymyr Zelensky en los que aparecen distintas celebridades

La muerte de Prigozhin no ha frenado las operaciones de influencia de Rusia

La muerte en agosto de 2023 del empresario ruso Yevgeny Prigozhin, propietario del Grupo Wagner y de la famosa granja de trolls Internet Research Agency, llevó a muchos a cuestionar el futuro de las capacidades de influencia y propaganda de Rusia. Sin embargo, desde entonces, Microsoft ha observado operaciones de gran alcance por parte de actores rusos que no están vinculados a Prigozhin, lo que indica que Rusia tiene la capacidad de continuar con operaciones avanzadas de influencia sin su ayuda.

Rusia se centra en atacar la agricultura ucraniana

Al igual que el invierno pasado Rusia se focalizó en crear una crisis energética y atacar el suministro eléctrico de Ucrania, este verano se han producido una serie de ataques tácticos, cibernéticos y propagandísticos por parte de Rusia contra el sector agrícola ucraniano. Durante los meses más cálidos de crecimiento y cosecha, los rusos se infiltraron en empresas agrícolas, robaron datos, desplegaron malware y utilizaron ataques militares para destruir grano que, según se estima, podría haber alimentado a un millón de personas durante un año.

El informe de Microsoft muestra una estrecha conexión entre sus esfuerzos militares, propagandísticos y los ciberataques. Por ejemplo, en un período de cuatro días a finales de julio de 2023, tras la retirada de Moscú de la Iniciativa del Grano del Mar Negro, Rusia:

  • Atacó instalaciones agrícolas en Odessa con 10 misiles de crucero.
  • Lanzó un ciberataque contra una organización ucraniana de equipamiento agrícola.
  • Difundió fake news en medios de comunicación prorrusos afirmando, por ejemplo, que Ucrania, EE.UU. y la OTAN estaban abusando del corredor de grano con fines terroristas y no de ayuda humanitaria.

Queda por ver si este invierno Rusia volverá a centrarse en el sector energético ucraniano. No obstante, en septiembre de 2023, el Equipo Gubernamental de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) anunció que las redes energéticas ucranianas se encontraban bajo amenaza constante. Por otro lado, Microsoft Threat Intelligence ha observado amenazas de la Inteligencia Militar Rusa (GRU) en las redes del sector energético ucraniano desde agosto hasta octubre de 2023.

El ciberespionaje ruso se centra en los crímenes de guerra, organizaciones gubernamentales y think tanks

Las autoridades rusas no sólo han sido acusadas de crímenes de guerra, sino que han dirigido sus recursos cibernéticos contra los investigadores y fiscales que instruyen las causas en su contra. Existe una tensión creciente entre Moscú y organizaciones como la Corte Penal Internacional (CPI), que emitió una orden de detención contra el presidente ruso Vladimir Putin por cargos de crímenes de guerra en marzo de 2023.

Agentes vinculados a la inteligencia militar y extranjera rusa penetraron en las redes jurídicas y de investigación ucraniana, además de un bufete de abogados, que trabajaba en investigaciones sobre crímenes de guerra como parte de un esfuerzo más amplio dirigido contra organizaciones diplomáticas, de defensa, de política pública y de TI. Uno de esos actores de amenaza, alineado con el Servicio de Inteligencia Exterior de Rusia (SVR) y al que se le conoce como Midnight Blizzard, ha perseguido el acceso a más de 240 organizaciones desde marzo de 2023, sobre todo en Estados Unidos, Canadá y países europeos. Casi el 40% de las organizaciones objetivo eran gobiernos, organizaciones intergubernamentales o think tanks centrados en políticas.

Rusia traslada a Estados Unidos e Israel su mensaje contra Ucrania

Storm-1099, un sofisticado agente de influencia asociado a Rusia (conocido sobre todo por una operación de falsificación masiva de sitios web denominada «Doppelganger» por el grupo de investigación EU DisinfoLab), ha estado atacando a simpatizantes internacionales de Ucrania desde la primavera de 2022. El grupo crea medios de comunicación únicos y de marca, como Reliable News Network (RNN), y aviva las protestas sobre el terreno, tendiendo puentes entre los mundos digitales y físicos mediante la amplificación de estos eventos. A pesar de los esfuerzos de empresas tecnológicas y entidades de vigilancia por denunciar y mitigar su alcance, Storm-1099 sigue plenamente activo. Su objetivo histórico han sido los países de Europa Occidental, especialmente Alemania, aunque en la actualidad se ha centrado en Israel y Estados Unidos, lo que refleja una mayor atención a los sucesos de la guerra entre Israel y Hamás, los temas políticos estadounidenses y las elecciones presidenciales de Estados Unidos de 2024.

Los activos de Storm-1099 impulsaron la noticia falsa de que Hamás había adquirido armas ucranianas en el mercado negro para su ataque del 7 de octubre contra Israel. Por otra parte, medios de comunicación afiliados a Rusia difundieron el falso relato de que reclutas extranjeros, entre ellos estadounidenses, fueron trasladados desde Ucrania para unirse a las fuerzas de las FDI en Gaza.

A finales de octubre de 2023, las autoridades francesas declararon sospechosos a cuatro ciudadanos moldavos por pintar grafitis de la estrella de David en espacios públicos de París, cuyas imágenes fueron amplificadas por los agentes de Storm-1099. Al parecer, dos de los moldavos afirmaron haber sido dirigidos por un individuo de habla rusa, lo que sugiere una posible responsabilidad por parte de Rusia en el incidente, el cual encaja perfectamente con el modus operandi de medidas de ataque del país. Es probable que Rusia considere que el actual conflicto entre Israel y Hamás le beneficia geopolíticamente, ya que estima que esta guerra distrae a Occidente de su guerra en Ucrania.

La infraestructura militar y los socios de defensa ucranianos siguen siendo objetivos clave

Desde que las fuerzas rusas lanzaron su ofensiva en la primavera de este año en Ucrania, los actores cibernéticos asociados a la inteligencia rusa han concentrado sus esfuerzos en la recopilación de inteligencia de las comunicaciones y la infraestructura militar ucranianas en las zonas de combate. Un agente, conocido como Forest Blizzard, intentó obtener acceso a organizaciones de defensa mediante mensajes de phishing que incorporaban técnicas novedosas y evasivas. Por ejemplo, en agosto, Forest Blizzard envió un correo electrónico de phishing a titulares de cuentas de una organización de defensa europea.

Captura de pantalla de un PDF asociado al phishing de Forest Blizzard contra organizaciones de defensa. El atacante se hace pasar por personal del Parlamento Europeo.

Mirando al futuro

El comandante en jefe del ejército ucraniano ha sugerido que la guerra con Rusia está pasando a una nueva fase de guerra estática de trincheras, lo que prolongará aún más el conflicto. Los agentes cibernéticos y de influencia rusos tendrían como objetivo desmoralizar a la población ucraniana y debilitar las fuentes externas de ayuda militar y financiera de Kiev, lo que combinarían con posibles ataques durante el invierno contra el sector energético de Ucrania.

Por otra parte, las elecciones presidenciales estadounidenses de 2024 y otras contiendas políticas importantes ofrecen a los grupos de influencia rusos la oportunidad de reducir el apoyo a los candidatos políticos ucranianos. Hasta la fecha, los actores de amenazas y propagandistas rusos no han demostrado tener capacidades avanzadas para aprovechar o integrar herramientas de inteligencia artificial (IA) en sus operaciones. Sin embargo, Microsoft sigue vigilando de cerca este aspecto.

Microsoft está trabajando en múltiples frentes para proteger a sus clientes en Ucrania, y en todo el mundo, de estas amenazas de múltiples dimensiones. Con la iniciativa Futuro Seguro, la compañía integra los avances en ciberdefensa basada en IA e ingeniería de software seguro, con iniciativas para fortalecer las normas internacionales que protegen a los civiles de las ciberamenazas. En el ámbito de las elecciones, Microsoft está desplegando recursos a través de un conjunto básico de principios para proteger a los votantes, los candidatos, las campañas y las autoridades electorales de todo el mundo.

Descarga aquí a la versión completa del informe del MTAC Russian threat actors dig in, prepare to seize on war fatigue