Destaca John Hultquist, Chief Analyst of Mandiant Intelligence at Google Cloud, en su blog que, más allá de objetivos militares, la OTAN debe considerar los riesgos que las amenazas híbridas, como las ciberamenazas, representan para hospitales, la sociedad civil y otros objetivos, “impactando potencialmente la resiliencia en caso de contingencias”.
Asegurando que los ciberdelincuentes buscan reunir inteligencia, preparar o ejecutar ataques contra infraestructura crítica y socavar la Alianza mediante elaborados esquemas de desinformación, asegura el directivo que Google, en su compromiso por proteger a sus usuarios, “sigue de cerca las amenazas cibernéticas”, algunas de las cuales se destacan en este informe, pese a lo cual “esto es solo un vistazo a un panorama mucho más amplio y en evolución”.
Explica el directivo que los adversarios de la OTAN han recurrido al ciberespionaje para obtener información sobre la postura política, diplomática y militar de la Alianza, así como para robar sus tecnologías de defensa y secretos económicos, y que “la información sobre la Alianza en los próximos meses será de mayor importancia”. Destaca el directivo que la cumbre de este año marca un período de transición, con el nombramiento de Mark Rutte como nuevo Secretario General y una serie de adaptaciones para fortalecer la postura de defensa de la Alianza y su apoyo a largo plazo a Ucrania.
En su post, escribe John Hultquist sobre APT29 (ICECAP), un actor extremadamente hábil en entornos de nube que se enfoca en ocultar sus rastros, dificultando su detección, rastreo y expulsión de las redes comprometidas. Atribuido públicamente a los Servicios de Inteligencia Exterior de Rusia, se centra principalmente en la recopilación de inteligencia diplomática y política, especialmente en Europa y estados miembros de la OTAN, y ha estado involucrado en múltiples infracciones de alto perfil contra empresas de tecnología para acceder al sector público.
APT29 tiene un historial extenso de campañas de phishing dirigidas a miembros de la OTAN, especialmente entidades diplomáticas. También se les ha observado atacando activamente partidos políticos en Alemania y Estados Unidos, posiblemente con el objetivo de recopilar información sobre futuras políticas gubernamentales.
Sobre el ciberespionaje desde China asegura que “ha experimentado una importante evolución en los últimos años, pasando de operaciones ruidosas y fácilmente atribuibles a un mayor enfoque en el sigilo”, y que las técnicas utilizadas han amplificado el desafío para los defensores “y han reforzado las campañas exitosas contra objetivos gubernamentales, militares y económicos en los estados miembros de la OTAN”.
Entre las técnicas mencionadas por el directivo de Mandiant destacan los ataques al borde de la red y explotación de vulnerabilidades de día cero en dispositivos de seguridad e infraestructura de red; el uso de redes de cajas de retransmisión operativas (ORB) para ocultar el origen del tráfico malicioso; o uso de técnias living-of-the-land para reducir las oportunidades de detección. “Estas técnicas no solo las aprovechan los actores de amenazas chinos. Actores rusos como APT29, APT28 y APT44 también las han utilizado”, asegura Hultquist.
Destaca también su post que, además de los ciberataques de actores estatales, las interrupciones de hacktivistas y actores criminales ya no son una molestia que se pueda ignorar fácilmente. “Un resurgimiento global de los hacktivistas ha dado lugar a ataques significativos contra el sector público y privado, y la actividad delictiva se ha vuelto tan devastadora que ha alcanzado el nivel de preocupación en materia de seguridad nacional”, dice Hultquist, antes de hablar de algunos actores y amenazas, como las operaciones de información de Prigozhin, Ghostwriter/UNC1151 o COLDRIVER.
