Imagen: Cathryn VirginiaEn el verano de 2017, una actualización de software para un popular software de contabilidad ucraniano introdujo malware en los sistemas de empresas que hacen negocios en Ucrania. El ataque detuvo la vida en Ucrania y paralizó la cadena de suministro de logística occidental, afectando al gigante naviero Maersk, la empresa postal FedEx y el puerto de Rotterdam. Ese fue solo el efecto inicial de una reacción en cadena, dirigida por el Kremlin.
Los expertos señalaron con entusiasmo el código robado de la Agencia de Seguridad Nacional (NSA) dentro del malware para reclamar la autoridad en el ataque, vinculando de manera efectiva el exploit de la NSA y el ataque cada vez que surge. La historia persistente que se quedó en la imaginación del público: el ataque cibernético ruso se ejecutó con la ayuda de armas cibernéticas de las que la NSA perdió el control.
La narrativa que tomó forma mostró un fracaso devastador del gobierno de los EE. UU. y desvió la atención pública de quién era responsable del ataque. Como investigador que ha estudiado extensamente las operaciones cibernéticas y los efectos de la influencia, me llamó la atención cómo NotPetya parecía diseñado para desviar la atención del autor de los ataques.
NotPetya marcó el comienzo de una nueva era de guerra basada en implantes en la que la opinión pública es tanto el objetivo como los sistemas de TI tradicionales. Esto no fue 'pirateo y fuga' o 'amplificación no auténtica' en las redes sociales. Se trata de operaciones de información mediante el uso de malware para crear una narrativa, y muestra cómo se ve el futuro del conflicto: uno en el que el malware no solo interrumpe nuestras operaciones comerciales, sino que también se dirige a nuestras mentes e influye en la cobertura de los medios. NotPetya generó un tiempo de inactividad significativo y la friolera de $ 10 mil millones en daños, pero su impacto más subversivo fue cómo engañó al público.
Hay dos hitos definitorios en la historia de la ciberguerra a través del implante. Uno de ellos exhibió oficios clandestinos. El otro utilizó dominios cruzados públicamente visibles efectos . Ambos tendrían una profunda influencia en futuras operaciones cibernéticas.
El primero fue Stuxnet, que apuntó a las centrífugas nucleares de Irán y las dañó físicamente. Combinó el dominio cibernético con el reino de la destrucción cinética. Una operación clandestina que se convirtió en una historia fascinante que es bastante fácil de comprender. El objetivo de Stuxnet era sabotear el programa nuclear de Irán mientras evadía el descubrimiento durante el mayor tiempo posible.
Por otro lado, la naturaleza multidominio de NotPetya no se deja definir tan fácilmente.
Es ampliamente aceptado que NotPetya fue orquestado por la agencia de inteligencia militar de Rusia, el GRU. El GRU emplea equipos de operaciones psicológicas y operaciones cibernéticas ofensivas de primer nivel. También ha sido considerado responsable del envenenamiento. Skripal , haciéndose pasar por hombrecitos verdes en Ucrania, y muchos otros escenarios de negación plausibles. Esta doctrina de negación plausible no diferencia entre el ámbito cibernético y el físico. Se aplica a todos los dominios, en todo momento. Es parte del Modus Operandi de la agencia.
El análisis completo de los diferentes aspectos de NotPetya requiere experiencia en operaciones cibernéticas ofensivas, ingeniería inversa, PSYOPS, operaciones de información , teoría de los medios , geopolítica, guerra, Rusia, Ucrania e inteligencia militar. Limitarnos a una perspectiva cibernética producirá un análisis inherentemente miope.
Entonces, ¿qué era NotPetya? En términos técnicos simples, podemos decir que NotPetya era una pieza de malware destructivo/limpiador que se hacía pasar por ransomware. Se envió a las empresas que utilizan el mecanismo de actualización de un software de contabilidad ucraniano muy popular. Para difundirse en la red, aprovechó tanto Pasa-El-Hash técnicas y Eternalblue, un exploit de la NSA hecho público por primera vez por los corredores de la sombra . El resultado final del ataque fue que la mayoría de las empresas terminaron con toda su infraestructura de Windows arrasada. Los sistemas de control industrial que dependían de máquinas Windows para la entrada se paralizaron.
Es imposible probar de manera concluyente el motivo y la intención sin un acceso profundo dentro de una organización objetivo. En el caso de GRU, eso implicaría obtener acceso a una persona o sistema con el plan de misión NotPetya. A menos que una agencia de inteligencia rival esté dispuesta a quemar fuentes y métodos, nuestra conversación pública sobre los efectos deseados de NotPetya se limita a conjeturas. Debemos sentirnos más cómodos operando en esta zona gris, nos guste o no. De lo contrario, nuestro análisis público será inherentemente astigmático, lo que conduce a una mala toma de decisiones.
NotPetya es un rompecabezas compuesto de negación plausible.
Estas son algunas de las narrativas dominantes que surgieron en diferentes comunidades:
- NotPetya era un gusano que se salió de control; se suponía que solo apuntaría a Ucrania. Los ataques anteriores estaban dirigidos exclusivamente a Ucrania, por lo tanto, esta campaña también tenía como objetivo atacar a Ucrania.
- El exploit EternalBlue de la NSA desempeñó un papel importante en NotPetya, y se centró posteriormente en que la NSA no pudo proteger su conjunto de herramientas o que la NSA no notificó a Microsoft después de encontrar la vulnerabilidad. Las hazañas de Wormable capturan la imaginación.
- NotPetya no tenía la intención de apuntar a la infraestructura crítica, porque no había Específico del sistema de control industrial carga útil.
Tenga en cuenta que no hay pruebas reales para estas narraciones. Están respaldados por el sentimiento y explotan nuestra sesgos de confirmación .
Estas son las teorías que obtuvieron poco o ningún tiempo al aire:
- Los atacantes son operadores ofensivos de primer nivel, expertos en Ucrania y tuvieron acceso a la infraestructura del software de contabilidad durante un período de tiempo más largo. Habrían sabido que las entidades no ucranianas eran objetivos. Tampoco hay evidencia que sugiera que los atacantes estaban tratando de limitar su ataque a entidades ucranianas.
- La mayor parte del movimiento lateral exitoso proviene de las herramientas Pass-The-Hash dentro de NotPetya. La parte de las operaciones cibernéticas ofensivas de NotPetya no habría sido materialmente menos exitosa sin EternalBlue. Incluso hace dos años equipos rojos , equipos ofensivos que simulan adversarios, elegirían herramientas PTH en lugar de EternalBlue para el movimiento lateral durante sus pruebas de penetración. ¿Podría haber un motivo oculto en juego para incluir EternalBlue, sabiendo que el actor de amenazas es extremadamente hábil para influir en la percepción pública?
¿Cuáles fueron los efectos de las narraciones?
- NotPetya se enmarcó principalmente como otro ataque más contra Ucrania por parte de Rusia. No fue visto como una demostración de fuerza o una forma de sanciones económicas contra aquellos países y empresas que hacen negocios en Ucrania. Esto también anuló la charla pública sobre una posible Artículo cinco de la OTAN situación en la que un ataque contra un miembro de la OTAN se considera un ataque contra todos.
- Preparado por Shadow Brokers (y Quiero llorar ), la mayor parte de la prensa técnica dominante se centró en el compromiso de la NSA y los efectos del mismo. En lugar de responder a nuestro adversario, el gobierno de los EE. UU. estaba a la defensiva defendiendo su misión. También creó un sentimiento negativo contra el archienemigo de GRU, la NSA. Simplemente no mejora para el GRU. Supondríamos que esto es un éxito absoluto de la misión para ellos.
La destructividad de NotPetya afectó no solo a objetivos militares válidos sino también a entidades civiles. durante tiempos de paz . En numerosos países. Este comportamiento va en contra de décadas de normas internacionales. Destover apuntó exclusivamente a Sony . Shamoon apuntó exclusivamente a Aramco . Stuxnet se extendió por todas partes , pero su carga útil destructiva se limitó a objetivos iraníes específicos.
Hagámonos las siguientes preguntas:
- ¿Qué habría sido de la cobertura de noticias sin la cobertura de ransomware para la acción? Imagine NotPetya se hubiera comportado como un puro limpiaparabrisas como Shamoon o Destover. Habría cambiado materialmente la cobertura y la respuesta (política) desde el principio.
- ¿Cuál habría sido la cobertura secundaria y la respuesta si NotPetya no hubiera incluido el exploit EternalBlue? Una vez más, EB no fue realmente tan útil para la difusión de NotPetya. En lugar de tener que defender su misión, el gobierno de EE. UU. y sus aliados podrían haber respondido al adversario con mayor determinación y respaldo, o al menos con mayor rapidez.
No puedo proporcionar evidencia concluyente sobre el motivo y la intención de GRU, pero los mecanismos de acción y el maquillaje de NotPetya realmente dieron forma a las narrativas y los resultados a favor de Rusia. Es muy poco probable que la composición y los mecanismos de la campaña NotPetya fueran una casualidad proveniente de uno de los equipos de operaciones de información líderes en el mundo.
En efecto, se ha creado una situación en la que un adversario extranjero puede incluir el código de explotación de EternalBlue en el malware y tener casi garantizado un sentimiento anti-USG/NSA. Esta es la encarnación binaria de las operaciones cibernéticas ofensivas como actividad de influencia, o la mayor armamentización de la información.
No tengo ninguna duda de que otros han tomado nota de la operación NotPetya. Esto es similar a Stuxnet en 2010 y las operaciones de influencia en torno a las elecciones de 2016. Debemos darnos cuenta de que esto no es una guerra cibernética, sino una guerra social. Deberíamos analizarlo e informarlo como tal.
Roel Schouwenberg es el director de inteligencia e investigación de Celsus.IO. Celsus Advisory Group y su equipo de expertos multidisciplinarios de dominio cruzado ofrecen servicios de consultoría estratégica basados en inteligencia.
Suscríbete a nuestro nuevo podcast de ciberseguridad, CIBER .