El conflicto bélico también se juega en el ciberespacio
Fuente: [SecOps]/ JUAN BRODERSEN
El lunes comenzaron a aparecer noticias en medios especializados sobre diversos grupos hacktivistas ya conocidos que se aliaron con Israel o Palestina: Cyber Avengers, Storm-1133, Anonymous Sudan y Killnet fueron de los primeros en postear en sus canales de comunicación (desde Telegram hasta sus sitios en la dark web y Twitter). A pesar de que no va ni una semana de la guerra, las piezas del rompecabeza empiezan a mostrarse.
En este sentido, CyberKnow hizo una serie de advertencias sobre el panorama actual y ciertas proyecciones sobre cómo se pueden desenvolver los hechos (además de un mapa con los principales grupos):
- Casi todos los grupos activos llevan años atacando especialmente a Israel
- Casi todos los grupos que apoyan a Palestina y son contrarios a Israel afirman ser grupos islámicos con motivaciones religiosas
- Tres grupos -Killnet, Usersec y Anonymous Sudan- están vinculados a la guerra entre Rusia y Ucrania como grupos prorrusos
- Hubo dos grupos pro-Israel en las últimas 24 horas y se espera que aparezcan más
- Podemos esperar ver:
- Ataques DDoS
- Defacing
- Breach y leaks
- Desinformación
- Doxxing y ataques a cuentas de Telegram de combatientes
El ecosistema de hacking de zonas cercanas a India también tomó partido: Team Insane y Mysterious Team Bangladesh explicitaron sus intenciones de afectar a Israel (a pesar del apoyo del Gobierno indio a Israel), mientras que Indian Cyber Force aseguró que está atacando a Palestina.
Los grupos más radicalizados, como el pro palestino Sylhet Gang, están explícitamente atacando a Israel. Arvin Club, grupo cibercriminal de ransomware, dijo haber robado información de la Universidad islámica Shiraz, de Irán.
Ahora bien, ¿qué efectos concretos se están viendo de la actividad de estos grupos?
Anonymous Sudan es uno de los grupos más importantes. El colectivo dijo haber hecho una alianza con Palestinian Resistance, quien se atribuyó el ataque al Jerusalem Post, medio líder de Israel, que estuvo caído desde el lunes hasta el miércoles. También se denunciaron ataques disruptivos a infraestructura crítica, sin que se reportaran daños mayores. Otro informe apuntó que Team Insane llevó a cabo un ataque DDoS contra el Banco de Israel. Dark Storm se adjudicó un ataque del mismo tipo contra Hot Mobile, una empresa israelí de telecomunicaciones.
Según expertos, Anonymous Sudan tiene conexiones con Rusia y está asociado con Killnet, un grupo conocido por sus ataques DDoS. Esto publicó Killnet en su canal de Telegram:
Gobierno de Israel, ustedes son los culpables de este derramamiento de sangre. En 2022, apoyaron al régimen terrorista de Ucrania. Traicionaron a Rusia. Hoy Killnet les informa oficialmente: todos los sistemas gubernamentales israelíes serán objeto de nuestros ataques.
Dentro de los hackers pro-Hamas, Microsoft adivitió sobre un grupo que llaman Storm-1133, que generó detecciones de falsas alarmas de misiles, además de ciberataques contra empresas de telecomunicaciones, defensa y energía.
En síntesis, según diversos medios especializados, ya son al menos 15 grupos y contando los que tomaron partido. Las atribuciones de los ataques son, sin embargo, complejas. Explicó a SecOps Valentina Costa Gazcón, analista de amenazas y CEO de V•ONE Labs:
Atribuir ciberataques es muy complejo. Por un lado, están los desafíos técnicos: el spoofing de IPs, el uso de infraestructura compartida, de malware basado en herramientas open source, de encriptación, sesgos de los analistas, etc. Por otro lado, también existen lo que se conocen como “ataques de falsa bandera”, donde los atacantes usan tácticas o herramientas de otros ciberactores para confundir a los investigadores. Por eso, es importante tener en cuenta cuáles son las fuentes que se encuentran detrás de una atribución y, si se encuentra disponible, cuál fue el análisis que llevó a la misma. Las atribuciones más sólidas suelen ser aquellas llevadas a cabo por analistas expertos y especializados en la región o aquellas que provienen de fuentes estatales que combinan datos de ciberinteligencia con información de inteligencia humana (humint).
Por esto, hay que tomar con cautela todas las atribuciones sobre el tema (en especial, las “auto-atribuciones”: hasta se llegó a decir, sin ningún tipo de contraste empírico, que el domo israelí había sido hackeado.
Hasta ahora, la mejor reconstrucción temprana del conflicto en el cambo de batalla ciber parece ser el del analista de seguridad Julian Botham, quien publicó una línea de tiempo muy completa donde se puede ver la reconstrucción que hizo de los ataques, los efectos concretos y los grupos:
También hubo problemas de desinformación. Elon Musk recomendó fuentes de información que, en el pasado, han desinformado. La Unión Europea publicó un comunicado advirtiendo sobre el uso de Twitter/X para desinformar e hizo el pedido extensivo a Meta.
Otra cuestión que está pasando es típica de estos eventos masivos, que es una enorme cantidad de links en redes sociales como Reddit, principalmente con imágenes sensibles, que redireccionan a enlaces maliciosos. “Esto es típico de cualquier evento masivo que ocupa titulares en todo el mundo, como el Mundial o la guerra entre Rusia y Ucrania”, me dijo una fuente de un proveedor líder especializado en ciberseguridad.
En estos momentos, los laboratorios de distintas compañías están trabajando para emitir los primeros reportes de los aspectos cibernéticos de la guerra. Habrá que esperar un poco para leerlos, pero entre los grupos hacktivistas, la desinformación y los ataques de DDoS, el panorama parece tomar forma aún en su estado embrionario.