Reino Unido denunció que Rusia está detrás de un virus para hackear a Microsoft

Reino Unido encendió nuevamente las alarmas sobre la actividad de espionaje ruso. Esta vez, lo hizo al atribuir formalmente una herramienta de ciberespionaje identificada al GRU, la inteligencia militar de Moscú. 

Se trata de un malware denominado Authentic Antics, que según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, fue utilizado por el grupo APT 28, conocido también como Fancy Bear, Forest Blizzard o Blue Delta en otros informes internacionales. 

Este grupo operó bajo la Unidad Militar 26165 del GRU, uno de los brazos más activos y sofisticados del aparato cibernético ruso.

La revelación del malware vino acompañada de un paquete de sanciones contra tres unidades del GRU: las 26165, 29.155 y 74.455, así como contra 18 agentes identificados. El motivo detrás de estas sanciones fue la actividad de interferencia cibernética y desinformación que, según Londres, tenía como objetivo apoyar los intereses militares y geopolíticos del Kremlin.

/Inicio Código Embebido/

/Fin Código Embebido/

El malware Authentic Antics no fue menor. Se diseñó para mantenerse oculto dentro de sistemas que usaron servicios en la nube de Microsoft, robando credenciales y tokens de autenticación. 

Su funcionamiento consiste en mostrar, ocasionalmente, una falsa pantalla de inicio de sesión para que el usuario entregara sus datos sin darse cuenta. 

Luego, esos datos fueron enviados desde la misma casilla de correo de la víctima a cuentas secretas controladas por los atacantes, todo sin dejar rastros visibles en la carpeta de "Enviados".

Paul Chichester, director de operaciones del NCSC, advirtió sobre el uso del malware Authentic Antics. Dijo que este hecho demostró la persistencia y sofisticación de la ciberamenaza que representaba el GRU ruso. Chichester instó a los defensores de la red a no bajar la guardia y destacó que la vigilancia y las medidas de protección son esenciales.

/Inicio Código Embebido/

/Fin Código Embebido/

La herramienta fue descubierta tras un incidente en 2023, que fue investigado conjuntamente entre Microsoft y el NCC Group, una firma especializada en respuesta a incidentes, bajo supervisión del NCSC. 

Desde el Gobierno británico no anduvo con vueltas. El secretario de Asuntos Exteriores, David Lammy, fue categórico al afirmar que los espías del GRU estaban llevando a cabo una campaña para desestabilizar Europa, socavar la soberanía de Ucrania y amenazar la seguridad de los ciudadanos británicos. Lammy enfatizó que el Kremlin no debía tener ninguna duda: Londres veía lo que intentaban hacer en la sombra y no lo toleraría.

La ofensiva diplomática del Reino Unido se dio en el marco de un esfuerzo más amplio para frenar lo que consideraba "amenazas híbridas" por parte de Rusia, en coordinación con aliados internacionales. El NCSC también publicó un informe técnico detallado sobre el malware, disponible en su sitio oficial.

No es la primera vez que estas unidades del GRU son señaladas por Londres y sus aliados. La Unidad 29.155 ya había sido vinculada a operaciones de sabotaje y la 74.455 —más conocida como Sandworm— fue asociada a ciberataques como el intento contra la Organización para la Prohibición de las Armas Químicas en 2018 y la diseminación del malware Cyclops Blink.

/Inicio Código Embebido/

/Fin Código Embebido/

Temas