Dentro del descubrimiento de Sandworm, los piratas informáticos más peligrosos del mundo
De la colección Everett.
Más allá de Beltway, donde el complejo industrial de inteligencia de DC se aplana hacia un mar interminable de estacionamientos y edificios de oficinas grises marcados con logotipos y nombres corporativos diseñados para ser olvidados, hay un edificio en Chantilly, Virginia, cuyo cuarto piso alberga un interior sin ventanas. habitación. Las paredes de la habitación están pintadas de negro mate, como para crear un espacio negativo donde no penetra la luz exterior. En 2014, poco más de un año antes del estallido de la ciberguerra de Ucrania, esto fue lo que la pequeña empresa privada de inteligencia iSight Partners llamó la habitación negra. En el interior trabajaba el equipo de dos personas de la empresa encargado de la investigación de vulnerabilidades de software, un trabajo que requería un enfoque lo suficientemente intenso como para que sus profesionales hubieran insistido en el diseño de oficina más cercano posible a una cámara de privación sensorial.
Fue este par de habitantes de las cavernas altamente calificados a quienes John Hultquist acudió por primera vez a un miércoles por la mañana de ese mes de septiembre con una petición poco común. Cuando Hultquist había llegado a su escritorio ese mismo día en una oficina mucho mejor iluminada, una con ventanas reales, había abierto un correo electrónico de uno de sus colegas de iSight en la operación satelital de la compañía en Ucrania. En el interior encontró un regalo: el personal con sede en Kiev creía que podrían haber tenido en sus manos una vulnerabilidad de día cero.
Un día cero, en la jerga de los piratas informáticos, es una falla de seguridad secreta en el software, una que la compañía que creó y mantiene el código del software no conoce. El nombre proviene del hecho de que la compañía no ha tenido días para responder y lanzar un parche para proteger a los usuarios.
Un día cero poderoso, en particular uno que permite a un pirata informático salir de los confines de la aplicación de software donde se encuentra el error y comenzar a ejecutar su propio código en una computadora de destino, puede servir como una especie de clave maestra global, una pase para acceder a cualquier máquina que ejecute ese software vulnerable, en cualquier parte del mundo donde la víctima esté conectada a Internet.
El archivo que Hultquist había pasado de la oficina de iSight en Ucrania era un archivo adjunto de PowerPoint. Parecía llevar a cabo silenciosamente exactamente ese tipo de ejecución de código, y en Microsoft Office, una de las piezas de software más ubicuas del mundo.
Mientras leía el correo electrónico, Klaxons sonó en la mente de Hultquist. Si el descubrimiento fue lo que los ucranianos creían que podría ser, significaba que algunos piratas informáticos desconocidos poseían, y habían utilizado, una capacidad peligrosa que les permitiría secuestrar millones de computadoras. Microsoft necesitaba ser advertido de su defecto de inmediato. Pero en un sentido más egoísta, descubrir un día cero representó un hito para una pequeña empresa como iSight con la esperanza de ganar la gloria y cortejar a los clientes en la incipiente subindustria de seguridad de la inteligencia de amenazas. La compañía descubrió solo dos o tres de esos defectos secretos al año. Cada uno fue una especie de curiosidad abstracta, altamente peligrosa y un importante golpe de investigación. Para una empresa pequeña, encontrar una pepita como esta fue muy, muy gratificante, dijo Hultquist. Fue un gran problema para nosotros.
Adaptado del libro de Andy Greenberg Gusano de arena , disponible el 5 de noviembre desde Doubleday.
Trabajando en computadoras cuyos monitores resplandecientes eran la única fuente de luz de la sala, los ingenieros inversos dentro de la sala negra comenzaron a ejecutar el archivo adjunto de PowerPoint infectado con malware de los ucranianos una y otra vez dentro de una serie de máquinas virtuales: simulaciones efímeras de una computadora alojada en una computadora real. , físico, cada uno de ellos tan aislado del resto de la computadora como la habitación negra lo estaba del resto de las oficinas de iSight.
¿Joe Scarborough y Mika están comprometidos?
En esos contenedores sellados, el código podía estudiarse como un escorpión bajo el cristal de un acuario. Le permitirían infectar a sus víctimas virtuales repetidamente, ya que los ingenieros inversos hicieron girar simulaciones de diferentes máquinas digitales, ejecutando versiones variadas de Windows y Microsoft Office, para estudiar las dimensiones y la flexibilidad del ataque. Cuando determinaron que el código podía extraerse por sí mismo del archivo de PowerPoint y obtener el control total incluso de las últimas versiones del software completamente parcheadas, obtuvieron su confirmación: de hecho, era un día cero, tan raro y poderoso como los ucranianos. y había sospechado Hultquist. A última hora de la noche, un paso del tiempo que pasó casi por completo sin marcar dentro de su espacio de trabajo, habían elaborado un informe detallado para compartir con Microsoft y sus clientes y codificado su propia versión, una prueba de concepto reescrita que demostró su ataque, como un patógeno en un tubo de ensayo.
PowerPoint posee poderes asombrosos, como uno de los dos ingenieros inversos de la sala negra, Jon Erickson, me explicó. A lo largo de años de evolución, se ha convertido en una máquina Rube Goldberg repleta de funciones en gran medida innecesarias, tan intrincadas que prácticamente sirve como su propio lenguaje de programación. Y quienquiera que haya aprovechado este día cero había estudiado en profundidad una característica que permitía a cualquiera colocar un objeto de información dentro de una presentación, como un gráfico o un video extraído de otra parte del propio paquete de datos del archivo de PowerPoint, o incluso de una computadora remota a través de Internet. . Los piratas informáticos se habían aprovechado de las posibilidades no deseadas de esa función para crear una especie de objeto malicioso que instalaba un archivo de su elección: algo así como un paquete de aspecto inofensivo dejado en la puerta de su casa que, después de traerlo adentro, brota un brazo, se abre y libera pequeños robots en su vestíbulo. Todo esto sucedería de forma inmediata e invisible, en el instante en que la víctima hiciera doble clic en el archivo adjunto para abrirlo.
Erickson, el ingeniero inverso que manejó por primera vez el día cero en la habitación negra de iSight, recuerda su trabajo de desmontaje y desactivación del ataque como un evento algo raro, fascinante, pero completamente impersonal. En su carrera se había enfrentado solo a un puñado de días cero reales que se encuentran en la naturaleza. Pero había analizado miles y miles de otras muestras de malware y había aprendido a pensar en ellas como muestras para su estudio sin tener en cuenta a los autores detrás de ellas: los humanos que habían manipulado su tortuosa maquinaria. Era solo un tipo desconocido y algo desconocido que no había visto antes, dijo.
Pero los días cero tienen autores. Y cuando Erickson había comenzado a desarmar este en su taller a oscuras esa mañana, no había estado simplemente estudiando un rompecabezas inanimado que ocurre naturalmente. Estaba admirando los primeros indicios de una inteligencia remota y malévola.
Una vez que el frenesí inicial de iSight en torno a su descubrimiento de día cero se calmó, las preguntas permanecieron: ¿Quién había escrito el código de ataque? ¿A quién apuntaban con él y por qué?
Esas preguntas recayeron en Drew Robinson, analista de malware en iSight. Sería trabajo de Robinson seguir las pistas dentro de ese PowerPoint para resolver los misterios más grandes de la operación oculta que representaba.
Minutos después de que Hultquist entrara al bullpen para anunciar el descubrimiento del día cero de PowerPoint ese miércoles por la mañana, Robinson estaba estudiando detenidamente el contenido del archivo adjunto con trampa explosiva. La presentación en sí parecía ser una lista de nombres escritos en caracteres cirílicos sobre una bandera ucraniana azul y amarilla, con una marca de agua del escudo de armas ucraniano, un tridente azul pálido sobre un escudo amarillo. Esos nombres, descubrió Robinson después de usar Google Translate, eran una lista de supuestos terroristas, aquellos que se pusieron del lado de Rusia en el conflicto ucraniano que había comenzado a principios de ese año cuando las tropas rusas invadieron el este del país y su península de Crimea, encendiendo movimientos separatistas allí. y provocando una guerra en curso.
Que los piratas informáticos hubieran elegido un mensaje anti-ruso para transmitir su infección de día cero fue la primera pista de Robinson de que el correo electrónico probablemente era una operación rusa con objetivos ucranianos, jugando con el patriotismo del país y los temores de los simpatizantes internos del Kremlin. Pero mientras buscaba pistas sobre los piratas informáticos detrás de esa estratagema, rápidamente encontró otro hilo suelto para tirar. Cuando se ejecutó el día cero de PowerPoint, el archivo que cayó en el sistema de la víctima resultó ser una variante de una pieza de malware notorio, que pronto se volverá mucho más notorio aún. Se llamó BlackEnergy.
rob kardashian y blac chyna siguen juntos
BlackEnergy había sido creado originalmente por un hacker ruso llamado Dmytro Oleksiuk, también conocido por su mango, Cr4sh. Alrededor de 2007, Oleksiuk había vendido BlackEnergy en foros de piratas informáticos en ruso, a un precio de alrededor de $ 40, con su identificador estampado como una etiqueta de graffiti en una esquina de su panel de control. La herramienta fue diseñada para un propósito expreso: los llamados ataques distribuidos de denegación de servicio, o DDoS, diseñados para inundar sitios web con solicitudes fraudulentas de información de cientos o miles de computadoras simultáneamente, dejándolos fuera de línea. En los años siguientes, sin embargo, BlackEnergy había evolucionado. Las empresas de seguridad comenzaron a detectar una versión renovada de la herramienta que aún podría llegar a sitios web con tráfico basura, pero también podría programarse para enviar correos electrónicos no deseados, destruir archivos en las computadoras que había infestado y robar nombres de usuario y contraseñas bancarias.
Ahora, ante los ojos de Robinson, BlackEnergy había resurgido en otra forma. La versión que estaba viendo desde su asiento en el bullpen de iSight parecía diferente de cualquier otra sobre la que había leído antes; ciertamente no era una simple herramienta de ataque a un sitio web, y probablemente tampoco una herramienta de fraude financiero. Después de todo, ¿por qué un esquema de delito cibernético centrado en el fraude utilizaría una lista de terroristas prorrusos como cebo? La artimaña parecía políticamente dirigida. Desde su primer vistazo a la muestra ucraniana de BlackEnergy, comenzó a sospechar que estaba mirando una variante del código con un nuevo objetivo: no mero crimen, sino espionaje.
Poco después, Robinson hizo un hallazgo afortunado que reveló algo más sobre el propósito del malware. Cuando ejecutó esta nueva muestra de BlackEnergy en una máquina virtual, intentó conectarse a través de Internet a una dirección IP en algún lugar de Europa. Esa conexión, pudo ver de inmediato, era el llamado servidor de comando y control que funcionaba como el maestro títere remoto del programa. Y cuando Robinson se acercó a sí mismo a través de su navegador web a esa máquina lejana, se sorprendió gratamente. La computadora de comando y control había quedado completamente insegura, lo que permitía a cualquiera navegar por sus archivos a voluntad.
Los archivos incluían, sorprendentemente, una especie de documento de ayuda para esta versión única de BlackEnergy que enumeraba convenientemente sus comandos. Confirmó la sospecha de Robinson: la versión de día cero de BlackEnergy tenía una gama mucho más amplia de capacidades de recopilación de datos que la muestra habitual de malware que se encuentra en las investigaciones de delitos cibernéticos. El programa podría tomar capturas de pantalla, extraer archivos y claves de cifrado de las máquinas de las víctimas y registrar las pulsaciones de teclas, todas ellas características del ciberespionaje dirigido y minucioso en lugar de un fraude bancario centrado en las ganancias.
Pero incluso más importante que el contenido de ese archivo de instrucciones era el idioma en el que estaba escrito: ruso.
La industria de la ciberseguridad advierte constantemente sobre el problema de la atribución: que los piratas informáticos lejanos detrás de cualquier operación, especialmente una sofisticada, a menudo son imposibles de identificar. Internet ofrece demasiadas oportunidades para proxies, desvíos y una incertidumbre geográfica abrumadora. Pero al identificar el servidor de comando y control inseguro, Robinson había superado el misterio BlackEnergy de iSight con un raro detalle de identificación.
A pesar de todo el cuidado que habían mostrado en su piratería de PowerPoint, los piratas parecían haber dejado escapar una pista sólida de su nacionalidad.
Sin embargo, después de esa ganancia inesperada, Robinson aún se enfrentó a la tarea de profundizar en las entrañas del código del malware en un esfuerzo por encontrar más pistas y crear una firma que las firmas de seguridad y los clientes de iSight pudieran usar para detectar si otras redes habían sido infectadas con el mismo programa.
Aunque Robinson sabía que el malware era autónomo y, por lo tanto, tenía que incluir todas las claves de cifrado necesarias para descifrarse y ejecutar su código, la clave de cada capa de ese cifrado solo se pudo encontrar después de decodificar la capa superior.
Después de una semana de prueba, error y parado en la ducha dándole vueltas a la cifra en su mente, Robinson finalmente rompió esas capas de ofuscación. Fue recompensado con una vista de los millones de ceros y unos de la muestra de BlackEnergy, una colección de datos que, de un vistazo, todavía carecía de sentido. Es casi como si estuvieras tratando de determinar cómo se vería alguien únicamente al observar su ADN, dijo Robinson. Y el dios que creó a esa persona estaba tratando de hacer que el proceso fuera lo más difícil posible.
Sin embargo, en la segunda semana, ese análisis microscópico paso a paso finalmente comenzó a dar sus frutos. Cuando logró descifrar los ajustes de configuración del malware, estos contenían el llamado código de campaña, esencialmente una etiqueta asociada con esa versión del malware que los piratas informáticos podían usar para clasificar y rastrear a las víctimas infectadas. Y para la muestra de BlackEnergy lanzada por su PowerPoint ucraniano, ese código de campaña fue uno que reconoció de inmediato, no de su carrera como analista de malware, sino de su vida privada como un nerd de la ciencia ficción: arrakis02.
De hecho, para Robinson, o para prácticamente cualquier otro fanático de la ciencia ficción, la palabra Arrakis es más que reconocible: es el planeta desértico donde la novela Duna, tiene lugar la epopeya de 1965 de Frank Herbert. La historia se desarrolla en un mundo donde la tierra ha sido devastada por una guerra nuclear global contra máquinas artificialmente inteligentes. Sigue el destino de la noble familia Atreides después de haber sido instalados como gobernantes de Arrakis, también conocido como Dune, y luego purgados del poder por sus malvados rivales, los Harkonnen. El héroe adolescente del libro, Paul Atreides, se refugia en el vasto desierto del planeta, donde gusanos de arena de 300 metros de largo deambulan bajo tierra. Eventualmente lidera un levantamiento guerrillero espartano, cabalgando sobre lomos de gusanos de arena en una batalla devastadora para recuperar el control del planeta.
Quienes fueran estos piratas informáticos, recordó haber pensado Robinson, parece que son fanáticos de Frank Herbert.
Cuando encontró ese código de campaña arrakis02, Robinson pudo sentir que se había topado con algo más que una pista singular sobre los piratas informáticos que habían elegido ese nombre. Sintió por primera vez que estaba viendo en sus mentes e imaginaciones. De hecho, comenzó a preguntarse si podría servir como una especie de huella digital. Quizás podría compararlo con otras escenas del crimen.
Durante los días siguientes, Robinson dejó a un lado la versión ucraniana de PowerPoint de BlackEnergy y comenzó a investigar, tanto en los archivos de iSight de muestras de malware más antiguas como en una base de datos llamada VirusTotal. VirusTotal, propiedad de la empresa matriz de Google, Alphabet, permite que cualquier investigador de seguridad que esté probando un malware lo cargue y lo compare con docenas de productos antivirus comerciales, un método rápido y aproximado para ver si otras empresas de seguridad han detectado el código en otro lugar y qué ellos podrían saberlo. Como resultado, VirusTotal ha reunido una colección masiva de muestras de código en estado salvaje recopiladas durante más de una década a las que los investigadores pueden pagar para acceder. Robinson comenzó a ejecutar una serie de escaneos de esos registros de malware, buscando fragmentos de código similares en lo que había desempaquetado de su muestra de BlackEnergy.
Pronto tuvo un éxito. Otra muestra de BlackEnergy de cuatro meses antes, en mayo de 2014, fue un duplicado aproximado de la que arrojó el PowerPoint ucraniano. Cuando Robinson desenterró su código de campaña, encontró lo que estaba buscando: houseatreides94, otro inconfundible Duna referencia. Esta vez, la muestra de BlackEnergy se había ocultado en un documento de Word, una discusión sobre los precios del petróleo y el gas aparentemente diseñada como un atractivo para una empresa de energía polaca.
Durante las próximas semanas, Robinson continuó buscando en su archivo de programas maliciosos. Su colección de muestras comenzó a crecer lentamente: BasharoftheSardaukars, SalusaSecundus2, epsiloneridani0, como si los piratas informáticos estuvieran tratando de impresionarlo con su conocimiento cada vez más oscuro de Duna Minucias.
se divorciaron brad pitt y angelina jolie
Cada uno de esos Duna las referencias estaban vinculadas, como las dos primeras que había encontrado, a un documento atractivo que revelaba algo sobre las posibles víctimas del malware. Uno era un documento diplomático que discutía el tira y afloja de Europa con Rusia por Ucrania mientras el país luchaba entre un movimiento popular que lo empujaba hacia Occidente y la persistente influencia de Rusia. Otro parecía estar diseñado como cebo para los visitantes que asistían a una cumbre centrada en Ucrania en Gales y un evento relacionado con la OTAN en Eslovaquia que se centró en parte en el espionaje ruso. Uno incluso parecía apuntar específicamente a un investigador académico estadounidense centrado en la política exterior rusa, cuya identidad iSight decidió no revelar públicamente. Gracias a la ayuda de los piratas Duna referencias, todos esos ataques dispares podrían vincularse definitivamente.
Pero algunas de las víctimas no se parecían mucho a las del espionaje geopolítico ruso habitual. ¿Por qué exactamente, por ejemplo, los piratas informáticos se centraron en una empresa de energía polaca? Otro estaba dirigido a una empresa de telecomunicaciones francesa. Otro más, descubriría más tarde iSight, dirigido a la agencia ferroviaria de Ucrania, Ukrzaliznytsia.
Pero a medida que Robinson profundizaba cada vez más en el montón de basura de la industria de la seguridad, a la caza de esos Duna referencias, lo que más le sorprendió fue otro descubrimiento: si bien el día cero de PowerPoint que habían descubierto era relativamente nuevo, la campaña de ataque más amplia de los piratas informáticos se remontaba no solo a meses sino años. La primera aparición del Duna Los señuelos de los piratas informáticos vinculados habían llegado en 2009. Hasta que Robinson logró reconstruir las rutas de exploración de sus operaciones, habían estado penetrando en las organizaciones en secreto durante media década.
Después de seis semanas de análisis, iSight estaba listo para hacer públicos sus hallazgos: había descubierto lo que parecía ser una campaña de espionaje vasta y altamente sofisticada con todos los indicios de ser una operación del gobierno ruso dirigida a la OTAN y Ucrania.
A pesar de todos los ingeniosos trucos de los piratas informáticos, John Hultquist sabía que llamar la atención sobre el descubrimiento de la empresa requeriría un conocimiento de los medios. En ese momento, los ciberespías chinos, no los rusos, eran el enemigo público número uno de los medios de comunicación y la industria de la seguridad estadounidenses. Sus piratas informáticos necesitarían un nombre llamativo y llamativo. Elegirlo, como era costumbre en la industria de la ciberseguridad, era prerrogativa de iSight como la empresa que había descubierto al grupo. Y claramente ese nombre debería hacer referencia a la aparente obsesión de los ciberespías con Duna.
Hultquist eligió un nombre que esperaba evocaría a un monstruo oculto que se movía justo debajo de la superficie, emergiendo ocasionalmente para ejercer un poder terrible, un nombre más apropiado de lo que el propio Hultquist podría haber conocido en ese momento. Llamó al grupo Sandworm.
Dos mil quinientas millas al oeste, otro investigador de seguridad todavía estaba cavando. Kyle Wilhoit, un analista de malware de la empresa de seguridad japonesa Trend Micro, había visto el informe Sandworm de iSight en línea esa tarde. Esa noche, sentados en el bar del hotel, Wilhoit y otro investigador de Trend Micro, Jim Gogolinski, sacaron sus computadoras portátiles y descargaron todo lo que iSight había hecho público, los llamados indicadores de compromiso que había publicado con la esperanza de ayudar a otras víctimas potenciales de Sandworm a detectar y bloquear a sus atacantes.
Entre esos fragmentos de evidencia, como las exhibiciones en bolsas de plástico de la escena del crimen, estaban las direcciones IP de los servidores de comando y control a los que se habían comunicado las muestras de BlackEnergy. A medida que avanzaba la noche y la barra se vaciaba, Wilhoit y Gogolinski comenzaron a comparar esas direcciones IP con el archivo de malware y VirusTotal de Trend Micro, para ver si podían encontrar nuevas coincidencias. Después de que el bar del hotel cerró, dejando a los dos investigadores solos en el patio oscuro, Wilhoit encontró una coincidencia para una de esas direcciones IP, apuntando a un servidor que Sandworm había usado en Estocolmo. El archivo que había encontrado, config.bak, también estaba conectado a esa máquina sueca. Y si bien a la persona promedio en la industria de la seguridad le habría parecido completamente anodino, de inmediato llamó la atención de Wilhoit.
Wilhoit tenía una experiencia inusual para un investigador de seguridad. Solo dos años antes había dejado un trabajo en St. Louis como gerente de I.T. seguridad para Peabody Energy, la compañía de carbón más grande de Estados Unidos. De modo que conocía los llamados sistemas de control industrial, o ICS, también conocidos en algunos casos como sistemas de control de supervisión y adquisición de datos, o SCADA. Ese software no solo envía bits, sino que envía comandos y recibe comentarios de los equipos industriales, un punto donde los mundos digital y físico se encuentran.
El software ICS se utiliza para todo, desde los ventiladores que hacen circular el aire en las minas de Peabody, hasta los enormes lavaderos que limpian el carbón, los generadores que queman carbón en las centrales eléctricas y los disyuntores de las subestaciones que alimentan la energía eléctrica a los consumidores. Las aplicaciones de ICS ejecutan fábricas, plantas de agua, refinerías de petróleo y gas y sistemas de transporte; en otras palabras, toda la maquinaria gigantesca y altamente compleja que forma la columna vertebral de la civilización moderna y que la mayoría de nosotros damos por sentado.
Una pieza común de software ICS vendido por General Electric es Cimplicity, que incluye un tipo de aplicación conocida como interfaz hombre-máquina, esencialmente el panel de control para esos sistemas de comando de digital a físico. El archivo config.bak que encontró Wilhoit era de hecho un archivo .cim, diseñado para abrirse en Cimplicity. Por lo general, un archivo .cim carga un panel de control personalizado completo en el software de Cimplicity, como un tablero infinitamente reconfigurable para equipos industriales.
Este archivo de Cimplicity no hizo gran cosa, excepto conectarse de nuevo al servidor de Estocolmo que iSight había identificado como Sandworm. Pero para cualquiera que se haya ocupado de los sistemas de control industrial, la noción de esa conexión por sí sola era profundamente preocupante. La infraestructura que ejecuta esos sistemas sensibles debe estar completamente aislada de Internet para protegerla de los piratas informáticos que podrían sabotearla y llevar a cabo ataques catastróficos.
Las empresas que operan dichos equipos, en particular las empresas de servicios eléctricos que sirven como la capa más fundamental sobre la que se construye el resto del mundo industrializado, ofrecen constantemente al público garantías de que tienen un espacio de aire estricto entre su I.T. red y su red de control industrial. Pero en una fracción inquietante de los casos, esos sistemas de control industrial aún mantienen conexiones delgadas con el resto de sus sistemas, o incluso con la Internet pública, lo que permite a los ingenieros acceder a ellos de forma remota, por ejemplo, o actualizar su software.
El vínculo entre Sandworm y un archivo de Cimplicity que llamó a casa a un servidor en Suecia fue suficiente para que Wilhoit llegara a una conclusión sorprendente: Sandworm no se centraba simplemente en el espionaje. Las operaciones de recopilación de inteligencia no irrumpen en los sistemas de control industrial. Sandworm parecía ir más lejos, tratando de extender su alcance a los sistemas de las víctimas que podrían potencialmente secuestrar la maquinaria física, con consecuencias físicas.
Estaban reuniendo información en preparación para pasar a una segunda etapa, se dio cuenta Wilhoit mientras se sentaba en el aire fresco de la noche frente a su hotel de Cupertino. Posiblemente estén intentando cerrar la brecha entre lo digital y lo cinético. Los objetivos de los piratas informáticos parecían extenderse más allá del espionaje al sabotaje industrial.
el sol eterno de la mente inmaculada
Wilhoit y Gogolinski no durmieron esa noche. En su lugar, se instalaron en la mesa al aire libre del hotel y comenzaron a buscar más pistas sobre lo que Sandworm podría estar haciendo en los sistemas ICS. Se saltaron las reuniones de Trend Micro al día siguiente, escribieron sus hallazgos y los publicaron en el blog de Trend Micro. Wilhoit también los compartió con un contacto del FBI que, de la manera típica de G-man con los labios cerrados, aceptó la información sin ofrecer ninguna a cambio.
De vuelta en su oficina de Chantilly, John Hultquist leyó la publicación del blog de Trend Micro en el archivo Cimplicity. Abrió totalmente un nuevo juego, dijo Hultquist. De repente, esos objetivos de infraestructura inadaptados entre las víctimas de Sandworm, como la empresa de energía polaca, cobraron sentido. Seis semanas antes, iSight había encontrado las pistas que cambiaron su modelo mental de la misión de los piratas informáticos de un mero delito cibernético a la recopilación de inteligencia a nivel nacional. Ahora la idea de Hultquist de la amenaza estaba cambiando de nuevo: más allá del ciberespionaje a la ciberguerra. Esto ya no parecía un espionaje clásico, pensó Hultquist. Estábamos buscando reconocimiento para un ataque.
En medio de la invasión de Rusia a Ucrania, Hultquist comenzó a darse cuenta de que un equipo de piratas informáticos rusos estaba utilizando sofisticadas herramientas de penetración para obtener acceso a la infraestructura de sus adversarios, lo que podría sentar las bases para atacar los cimientos de la sociedad civil, cientos de millas más allá del Primera línea: imaginaba manufactura saboteada, transporte paralizado, apagones.
Después de leer el informe de Trend Micro, la fascinación de Hultquist creció: Sandworm se había transformado en su mente de un desconcertante rompecabezas a un raro y peligroso fenómeno geopolítico. No obstante, se sintió frustrado al descubrir que después de una ronda inicial de publicidad en torno al descubrimiento de iSight, su club de observadores de gusanos de arena no tenía muchos otros miembros. Los principales medios de comunicación parecían haber agotado en gran medida su interés en el grupo; después de todo, era China, no Rusia, cuyo amplio espionaje y robo de propiedad intelectual lo habían convertido en el principal adversario digital en la mente de Estados Unidos en ese momento. Pero Hultquist no sabía que alguien más había estado rastreando la campaña de intrusiones de Sandworm también, y había reunido en silencio, con mucho, el retrato más perturbador del grupo hasta el momento.
Trece días después de que Trend Micro publicara sus hallazgos sobre la conexión de Sandworm con los ataques al sistema de control industrial, la división del Departamento de Seguridad Nacional conocida como Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial, o ICS-CERT, publicó su propio informe. ICS-CERT actúa como un organismo de control de ciberseguridad gubernamental especializado y centrado en la infraestructura encargado de advertir a los estadounidenses sobre las inminentes amenazas a la seguridad digital. Tenía lazos profundos con las empresas de servicios públicos estadounidenses, como los proveedores de energía y agua. Y ahora, quizás provocado por la investigación de iSight y Trend Micro, estaba confirmando los peores temores de Hultquist sobre el alcance de Sandworm.
Sandworm, según el informe ICS-CERT, había creado herramientas para piratear no solo las interfaces hombre-máquina de GE Cimplicity que Trend Micro había notado, sino también software similar vendido por otros dos proveedores importantes, Siemens y Advantech / Broadwin. El informe indicó que las intrusiones de los objetivos del sistema de control industrial habían comenzado ya en 2011 y continuaron hasta septiembre de 2014, el mes en que iSight detectó Sandworm. Y los piratas informáticos habían penetrado con éxito en múltiples objetivos de infraestructura crítica, aunque ninguno fue nombrado en el documento. Por lo que ICS-CERT pudo decir, las operaciones solo habían alcanzado la etapa de reconocimiento, no de sabotaje real.
Los analistas de iSight comenzaron a hacer un seguimiento discreto del informe del DHS con sus fuentes en la industria de la seguridad y rápidamente confirmaron lo que habían leído entre líneas: algunas de las intrusiones de Sandworm habían ocurrido en objetivos de infraestructura que no eran solo ucranianos o polacos sino estadounidenses.
Menos de dos meses después de que iSight encontrara sus primeras huellas digitales, la idea de Hultquist de Sandworm había cambiado una vez más. Este era un actor extranjero que tuvo acceso a cero días haciendo un intento deliberado en nuestra infraestructura crítica, dijo Hultquist. Detectamos un grupo al otro lado del mundo que realizaba actividades de espionaje. Habíamos estudiado detenidamente sus artefactos. Y descubrimos que era una amenaza para Estados Unidos.
Incluso la revelación de que Sandworm era un equipo de piratería de infraestructura totalmente equipado con vínculos con Rusia y ambiciones de ataque global nunca recibió la atención que Hultquist pensó que merecía. No estuvo acompañado de ninguna declaración de los funcionarios de la Casa Blanca. La prensa comercial de la industria de la seguridad y los servicios públicos se puso a hablar brevemente con la noticia y luego siguió adelante. Era un espectáculo secundario, y a nadie le importaba una mierda, dijo Hultquist con un raro toque de amargura.
Pero toda la atención parecía haber llegado finalmente a una audiencia: Sandworm en sí. Cuando iSight buscó los servidores conectados con el malware nuevamente después de todos los informes públicos, las computadoras se habían desconectado. La empresa encontraría una muestra más de BlackEnergy a principios de 2015 que parecía haber sido creada por los mismos autores, esta vez sin ninguna Duna referencias en sus códigos de campaña. Nunca volvería a encontrar ese tipo de huella humana obvia; el grupo había aprendido del error de revelar sus preferencias de ciencia ficción. Sandworm había vuelto a la clandestinidad. No volvería a aparecer hasta dentro de un año. Cuando lo hiciera, ya no se centraría en el reconocimiento. Estaría preparado para atacar.
El mismo grupo de piratas informáticos se distinguiría como uno de los más peligrosos del mundo. En los años siguientes, Sandworm cambiaría sus operaciones del reconocimiento que iSight había detectado a una guerra cibernética a gran escala en Ucrania. Esa serie sostenida de años de ataques digitales vendría en oleada tras oleada: cientos de computadoras destruidas en ataques dirigidos a los medios de comunicación, el transporte, la industria privada y el gobierno, los primeros apagones provocados por piratas informáticos y, finalmente, el lanzamiento de una pieza. del malware que revoluciona el mundo conocido como NotPetya, un acto llegaría a ser reconocido como el ciberataque más devastador de la historia. Las huellas dactilares del grupo se pueden rastrear hasta una unidad específica dentro del aparato de inteligencia de Rusia, una que participó en la interferencia de Rusia en las elecciones presidenciales de Estados Unidos en 2016, y cuyos objetivos aún pueden incluir 2020.
Adaptado de Gusano de arena por Andy Greenberg que se publicará el 5 de noviembre de 2019 por Doubleday, una editorial de Knopf Doubleday Group, una división de Penguin Random House LLC. Copyright © 2019 por Andy Greenberg.