El grupo hacker ruso Fancy Bear, sospechosos del ciberataque al Ministerio de Defensa
El grupo Fancy Bear, que ha atacado a otros países, obtuvo el acceso a través de un mail infectado.
Hace exactamente un mes, el 12 de marzo, os contamos que el Ministerio ponía en constancia a la Fiscalía una denuncia sobre una intrusión en el servidor general de su red informática interna. La denominada Red WAN PG o de ‘propósito general’ es la encargada nada menos de conectar entre otros el órgano central del ministerio, el Estado Mayor de la Defensa, los tres ejércitos y las unidades desplegadas en el exterior. Y en su haber tiene más de 50.000 usuarios autorizados junto datos de cuentas de correo, historiales de navegación, servicios telefónicos y acceso a bases de datos. O sea: el paraíso de información a primer nivel.
Fancy Bear, hackers rusos sospechosos
Habida cuenta de la enorme cantidad de datos que hay en la red WAN PG, según la denuncia del Ministerio la red en sí no dispone de información clasificada de alto secreto, pero sí que es usada para el correcto funcionamiento del departamento. En la investigación colaboran por igual el Mando Conjunto de Ciberdefensa y el CESTIC (Centro de Sistemas y Tecnologías de la Información y las Telecomunicaciones), pero en el momento de su publicación no se sabían más datos. Aunque la cosa ha cambiado un mes después, ya que ha surgido nueva información que apunta hacia un atacante en específico en el hackeo del Ministerio de Defensa: Rusia.
¿Quienes son Fancy Bear? Se trata de un grupo de hackers muy conocidos que han jugado al mismo juego que parece que lleva haciendo Rusia desde hace tiempo: desestabilizar. En 2016, el año de las elecciones USA en las que hackers rusos metieron mano al proceso, Fancy Bear se ‘entretuvo’ publicando un listado que filtraba nombres de atletas de élite y posibles casos de Doping, y fueron responsables de los ataques a la agencia antidopaje en los Juegos Olímpicos y al Partido Demócrata de Estados Unidos.
Pero no queda ahí la cosa, sino que también suenan cuando se habla del hackeo al parlamento alemán en 2014, así como ataques a partidos políticos alemanes con idea de influir en las elecciones germanas de 2017. Lo mismo en las elecciones francesas, la lista del grupo es larga: falsas amenazas yihadistas contra personal importante del ejército USA, ciberataques a la OTAN y la Casa Blanca también forman parte de sus éxitos.
Un email infectado
Según fuentes consultadas por el medio El Español, la autoría de la intrusión al Ministerio de Defensa fue “con toda certeza […] desde el exterior“. El ataque en sí se centró en la red de propósito general de Defensa, sistema capital para los emails de los empleados y funcionarios del Ministerio. Precisamente fue uno de ellos quien dio la señal de alarma. El rastro dejado por los atacantes apunta a que los atacantes llevaban más de tres meses moviéndose por el sistema.
Determinar la autoría de estos ataques es siempre complicados, pero de nuevo según las fuentes, todo apunta con firmeza a que los autores fue el grupo Fancy Bear mediante el clásico método del correo phishing: Infectas un mail, un usuario ‘pica’ en el engaño y se baja el archivo infectado, y ahí empieza todo. Fancy Bear, que según varios expertos en Ciberseguridad están conectados con el mismísimo Kremlin ruso, tienen en su currículum emplear un método similar con el Ministerio de Defensa americano.