Sanciones de la UE para atacantes de WannaCry, NotPetya, OPCW y Cloud Hopper
Personas y entidades de Corea del Norte, China y Rusia, responsable o involucrado en los ataques cibernéticos ‘WannaCry’, ‘NotPetya’, ‘Operation Cloud Hopper’ y la OPCW (Organización para la Prohibición de Armas Químicas) han sido identificados y recibió prohibiciones de viaje y una congelación de activos en la primera imposición de sanciones restrictivas por parte del Consejo de la UE. Las personas y entidades de la UE también tienen prohibido poner fondos a disposición de los enumerados.
En una declaración pública, la UE dice: “Para prevenir, desalentar, disuadir y responder mejor a este comportamiento malicioso en el ciberespacio, el Consejo decidió hoy aplicar medidas restrictivas a seis personas y tres entidades u organismos involucrados en ataques cibernéticos con un efecto significativo, o intentos de ciberataques con un efecto potencialmente significativo, que constituyan una amenaza externa para la Unión Europea o sus estados miembros, o con un efecto significativo contra terceros Estados u organizaciones internacionales. Las medidas en cuestión son la prohibición de viajar y la congelación de activos para las personas físicas y la congelación de activos para las entidades u organismos. También está prohibido poner directa o indirectamente fondos a disposición de las personas y entidades u organismos incluidos en la lista.
En junio de 2017, la UE intensificó su capacidad para desalentar, disuadir y responder a las amenazas cibernéticas y las actividades cibernéticas malintencionadas mediante el establecimiento de un marco para una respuesta diplomática conjunta de la UE a las actividades cibernéticas maliciosas (el “caja de herramientas de diplomacia cibernética“). La UE y sus estados miembros pueden utilizar todas las medidas de la PESC para proteger la integridad y seguridad de la UE y sus estados miembros.
Una declaración oficial de la UE establece una distinción entre medidas restrictivas específicas que tienen un efecto disuasorio y disuasorio, diciendo que deben distinguirse de la atribución de responsabilidad a un tercer estado. Pero efectivamente permiten la identificación del perpetrador y permiten tomar represalias contra aquellos que creen responsables a quienes han identificado, hasta el número de su pasaporte.
Reino Unido también aplica sanciones
El Reino Unido acogió con satisfacción el anuncio diciendo que está a la vanguardia de los esfuerzos para establecer el régimen de sanciones cibernéticas de la UE y continuará implementando este régimen al final del período de transición, a través de su propio régimen autónomo de sanciones cibernéticas del Reino Unido.
Una declaración dice: “Estas sanciones, que ahora están en vigor en el Reino Unido, envían una fuerte señal de que la actividad cibernética maliciosa contra nuestros socios y aliados europeos tiene consecuencias. Las sanciones cibernéticas impondrán costos significativos por el comportamiento imprudente de los actores estatales y no estatales a través de la congelación de activos y la prohibición de viajar dentro de la UE, incluido el Reino Unido ”.
Agrega: “Recientemente hemos establecido el instrumento legal para nuestro propio régimen autónomo de sanciones cibernéticas del Reino Unido, que nos permitirá imponer prohibiciones de viaje y congelación de activos a individuos y organizaciones. El Reino Unido ha identificado previamente las organizaciones sancionadas hoy por su papel en los ciberataques patrocinados por el estado que tenían como objetivo instituciones democráticas, infraestructura nacional crítica, medios de comunicación y organizaciones internacionales «.
La interrupción puede obstaculizar a los atacantes
En un correo electrónico, John Hultquist, director senior de análisis de Mandiant Threat Intelligence, comentó: “NotPetya y WannaCry fueron dos de los ciberataques más devastadores de la historia, que causaron miles de millones de dólares en daños e interrumpieron muchos sistemas vitales, como los que pertenecen al NHS del Reino Unido. . Al menos una víctima de NotPetya ha reclamado 1.300 millones de dólares en daños. El ataque de NotPetya fue llevado a cabo por los actores de GRU conocidos como Sandworm, que previamente habían llevado a cabo dos ataques en la red de Ucrania. Esos mismos actores intentaron un ataque destructivo en los Juegos Olímpicos de Pyeongchang, aunque ninguna declaración del gobierno ha acusado al gobierno ruso por su papel en ese incidente.
“La campaña Cloud Hopper fue una operación compleja de recopilación de inteligencia que estaba destinada a recopilar inteligencia en lugar de interrumpir los sistemas. APT10 obtuvo acceso a los proveedores de servicios administrados como un medio para luego dirigirse a sus clientes, organizaciones que usaban esos proveedores para alojar su TI. China y otros continúan este tipo de actividad, avanzando hacia los proveedores de telecomunicaciones y TI, donde pueden obtener acceso a múltiples organizaciones e individuos simultáneamente.
“El GRU también estuvo detrás de un intento de piratear la red WI-FI de la OPCW visitando físicamente sus instalaciones en La Haya. Esa operación se interrumpió, pero la unidad había estado involucrada en operaciones similares en Suiza, Brasil y Malasia, que tenían como objetivo los Juegos Olímpicos y otras investigaciones que involucraban a Rusia. El uso constante de equipos de inteligencia física humana para complementar sus esfuerzos de intrusión convierte al GRU en un adversario particularmente eficaz. Las sanciones pueden ser particularmente efectivas para interrumpir esta actividad, ya que pueden obstaculizar la libre circulación de esta unidad «.
Tom Kellermann, jefe de estrategia de ciberseguridad de VMware Carbon Black, envió un correo electrónico a IT Security Guru para agregar su apoyo a la medida, diciendo: “A medida que el número de ciberataques destructivos continúa aumentando en todo el mundo, los estados-nación están llegando a un punto de inflexión. La UE ahora está aprovechando el poder económico para penalizar a los países que lanzan ataques destructivos. Las sanciones impuestas recientemente por la UE sentaron un precedente que el mundo debería seguir. La tensión geopolítica se manifiesta en el ciberespacio y los ataques destructivos han aumentado en un 102 por ciento desde el año pasado, según un informe reciente. informe de VMware Carbon Black. Con la guerra cibernética en curso creada por la multiplicidad de actores maliciosos, es hora de aprovechar el poder de las políticas para ayudar a prevenir, desalentar y responder a las amenazas cibernéticas «.
Los identificados en el informe son …
Los identificados y sus roles otorgados por el informe son:
Gao Qiang de la provincia de Shandong, y Zhang Shilong de Tianjin, China. El informe dice que estuvieron involucrados en la Operación Cloud Hopper ”que se dirigió a los sistemas de información de empresas multinacionales en seis continentes, incluidas empresas ubicadas en la Unión, y obtuvieron acceso no autorizado a datos comercialmente sensibles, lo que resultó en una pérdida económica significativa. Dice: «El actor conocido públicamente como» APT10 «(» Advanced Persistent Threat 10 «) (también conocido como» Red Apollo «,» CVNX «,» Stone Panda «,» MenuPass «y» Potasio «) llevó a cabo la» Operación Cloud Hopper ”.
Agrega: “Gao Qiang puede vincularse a APT10, incluso a través de su asociación con la infraestructura de mando y control de APT10. Además, Huaying Haitai, una entidad designada para brindar apoyo y facilitar la “Operación Cloud Hopper”, empleó a Gao Qiang. Tiene vínculos con Zhang Shilong, quien también está designado en relación con la «Operación Cloud Hopper». Por lo tanto, Gao Qiang está asociado tanto con Huaying Haitai como con Zhang Shilong. El mismo razonamiento se aplicó a Zhang Shilong, quien también está vinculado a APT10, incluso a través del malware que desarrolló y probó en relación con los ciberataques llevados a cabo por APT10.
Ltd del desarrollo de la ciencia y la tecnología de Tianjin Huaying Haitai (Huaying Haitai) de Tianjin, China, prestó apoyo financiero, técnico o material y facilitó la «Operación Cloud Hopper»
Alexey Valeryevich Minin de Perm Oblast, Rusia SFSR (ahora Federación de Rusia), Aleksei Sergeyvich Morenets de Murmanskaya Oblast, RSFS de Rusia, Evgenii Mikhaylovich Serebriakov de Kursk, SFSR rusa y Oleg Mikhaylovich Sotnikov de Ulyanovsk, la SFSR rusa participó en un intento de ciberataque con un efecto potencialmente significativo contra la Organización para la Prohibición de las Armas Químicas (OPAQ) en La Haya, Países Bajos, en abril de 2018. El intento de ciberataque tenía como objetivo piratear la red Wi-Fi de la OPAQ, lo que, de tener éxito, habría comprometido la seguridad de la red y el trabajo de investigación en curso de la OPAQ. El Servicio de Seguridad e Inteligencia de Defensa de los Países Bajos (DISS) (Militaire Inlichtingen- en Veiligheidsdienst – MIVD) interrumpió el intento de ciberataque, evitando así daños graves a la OPAQ.
El Centro Principal de Tecnologías Especiales (GTsST) de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GU / GRU), también conocido por su puesto de campo número 74455, se informa como: “… responsable de ciberataques con un efecto significativo originados fuera de la Unión y que constituyen una amenaza externa para la Unión o sus Estados miembros y de ciberataques con un efecto significativo contra terceros Estados, incluidos los ciberataques conocidos públicamente como «NotPetya» o «EternalPetya» en junio de 2017 y los ciberataques dirigidos a una red eléctrica de Ucrania en el invierno de 2015 y 2016 «.
“NotPetya” o “EternalPetya” hicieron que los datos fueran inaccesibles en varias empresas de la Unión, Europa en general y en todo el mundo, al atacar computadoras con ransomware y bloquear el acceso a los datos, lo que resultó, entre otras cosas, en pérdidas económicas significativas. El ciberataque a una red eléctrica ucraniana provocó que algunas partes se apagaran durante el invierno.
El actor conocido públicamente como «Sandworm» (también conocido como «Sandworm Team», «BlackEnergy Group», «Voodoo Bear», «Quedagh», «Olympic Destroyer» y «Telebots»), que también se describe como responsable del ataque al Red eléctrica de Ucrania, y llevó a cabo «NotPetya» o «EternalPetya».
El Centro Principal de Tecnologías Especiales de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia tiene un papel activo en las actividades cibernéticas realizadas por Sandworm y puede vincularse a Sandworm.
Creadores coreanos de WannaCry identificados
Expo Elegida; Empresa conjunta de exportación de Corea en la RPDC. El informe dice que la Chosen Expo de Corea del Norte brindó apoyo financiero, técnico o material y facilitó una serie de ciberataques con un efecto significativo originados fuera de la Unión y que constituyen una amenaza externa para la Unión o sus Estados miembros y de ciberataques con un efecto significativo contra terceros Estados, incluidos los ataques cibernéticos conocidos públicamente como «WannaCry» y los ataques cibernéticos contra la Autoridad de Supervisión Financiera de Polonia y Sony Pictures Entertainment, así como el robo cibernético del Banco de Bangladesh y los intentos de robo cibernético del Banco Vietnam Tien Phong.
«WannaCry» interrumpió los sistemas de información de todo el mundo al apuntar a los sistemas de información con ransomware y bloquear el acceso a los datos. Afectó a los sistemas de información de las empresas de la Unión, incluidos los sistemas de información relacionados con los servicios necesarios para el mantenimiento de los servicios esenciales y las actividades económicas en los Estados miembros.
Según el documento de la UE, el actor conocido públicamente como «APT38» («Advanced Persistent Threat 38») o el «Lazarus Group» llevó a cabo «WannaCry» y Chosun Expo puede vincularse a APT38 / the Lazarus Group, incluso a través de las cuentas. utilizado para los ciberataques.