Desde el comienzo de la guerra entre Rusia y Ucrania, muchos se han referido a ella como la primera guerra híbrida a gran escala, en la que la guerra implica tanto ataques cibernéticos como botas sobre el terreno.

Ya días antes de que las primeras fuerzas rusas entraran en Ucrania, los ciberataques vinculados a Rusia tenían como objetivo sitios ucranianos. Estos ataques continuaron a medida que la guerra evolucionaba, y fueron seguidos por contraataques contra sitios rusos.

La mayor parte de esta guerra cibernética es llevada a cabo por grupos de Amenazas Persistentes Avanzadas (APT), docenas de colectivos como hacktivistas, grupos de hackers y conocidas bandas de ransomware como Conti y ComingProject. Cada uno de ellos se ha puesto del lado de Rusia o de Ucrania en las últimas semanas.

Además de utilizar las redes sociales para comunicarse con el público, muchos de estos grupos han recurrido a la web oscura y profunda como espacio seguro para coordinar ataques contra sitios específicos o canales de chat asociados con Rusia o Ucrania, a menudo en un esfuerzo por derribarlos.

¿Qué plataformas de la web profunda y oscura utilizan los colectivos de hackers?

Muchos colectivos de hackers utilizan plataformas como foros de hacking populares, sitios de pasta, aplicaciones de chat como Telegram y sitios de hacking dedicados construidos específicamente para apoyar los esfuerzos de ciberguerra de cualquiera de los dos bandos.

Estas plataformas se utilizan para:

Filtración de información sensible perteneciente al otro bando, incluyendo la de las agencias gubernamentales, los ejércitos de los dos países, los organismos políticos, las empresas privadas y otros grupos que se identifican con Rusia o Ucrania.

Discusiones y planificación de futuros ataques: muchas discusiones implican reunir e incitar a la gente a atacar a uno de los bandos.

El principal método que utilizamos para encontrar estos indicadores es el seguimiento de los dominios y las direcciones IP de las entidades objetivo.
Actividades sospechosas en la web profunda y oscura antes de la guerra

Utilizando nuestras herramientas de enriquecimiento, monitorizamos dominios y encontramos un aumento de los debates sobre ataques contra objetivos rusos y ucranianos en la deep y dark web.

Una simple búsqueda que realizamos en decenas de miles de direcciones de dominio asociadas a Ucrania (como los sitios con el sufijo «gov.ua») mostró (véase el gráfico siguiente) un aumento del número de menciones a estos sitios en diciembre y enero. A esto le siguió un enorme pico a partir de finales de febrero, cuando estalló la guerra convencional. Estas cifras siguen siendo altas hasta hoy.

 

El número de menciones de dominios ucranianos desde noviembre de 2021 hasta principios de marzo de 2022El número de menciones de dominios ucranianos en la web profunda y oscura desde noviembre de 2021 hasta principios de marzo de 2022

Esta tendencia es un claro indicio de que las agencias, organizaciones y empresas ucranianas fueron objeto de debate y objetivo en la deep y dark web.

Si nos fijamos bien, el pico en diciembre-enero puede estar relacionado con los ciberataques masivos lanzados contra docenas de sitios gubernamentales ucranianos el 14 de enero. No es, pues, casualidad que el fuerte aumento de las menciones de dominios comenzara en diciembre.

En consonancia con el elevado número de menciones de dominios ucranianos en el gráfico anterior, pudimos encontrar muchos ejemplos del contenido que menciona dominios ucranianos en la dark web, como el de la imagen siguiente:

FREE CIVILIAN
Un sitio web dirigido por una banda llamada Free Civilian donde ofrecen las bases de datos e información sensible de agencias gubernamentales y empresas ucranianas

En este post, se puede ver una lista de bases de datos de los ministerios del gobierno ucraniano y de empresas privadas que fueron comprometidas como resultado de los ciberataques.

El sitio, que opera en la red Tor, está vinculado a un grupo de hackers llamado Free Civilian, el mismo que estuvo detrás de los últimos ataques, al menos según el mensaje que dejaron en los sitios ucranianos que habían atacado.

Otro ejemplo es un post en el conocido foro de hacking ruso xss.is (ver imagen inferior), donde un ciberdelincuente ruso filtró información sensible perteneciente al comando operativo «Norte» de las Fuerzas Armadas de Ucrania (El término ruso: «ВСУ»).

El dominio vinculado a Ucrania en este post pertenece a un sitio ucraniano de intercambio de documentos, que alberga documentos militares ucranianos sensibles.

 


Un post escrito sobre XSS, donde se está filtrando información sensible perteneciente a una de las unidades militares ucranianas, la imagen está tomada de la zona de juegos de Cyber API de Webz.ioUn post escrito sobre XSS, donde se está filtrando información sensible perteneciente a una de las unidades militares ucranianas, el post original fue retirado, esta imagen está tomada de la zona de juegos de Cyber API de Webz.io

Como resultado de los ciberataques lanzados por grupos asociados a Rusia o a Ucrania, pudimos encontrar muchos datos comprometidos y primeros indicadores de otros ciberataques a través de la web profunda y oscura.

Como ya se ha mencionado, el seguimiento de las direcciones IP desempeña un papel importante en el proceso de identificación de indicadores tempranos de ciberataques. Nuestro equipo buscó direcciones IP rusas y encontramos un aumento significativo en el número de menciones a través de la deep y dark web durante el último mes:


El número de menciones de IPs rusas a lo largo de diciembre de 2021 hasta marzo de 2022El número de menciones de IPs rusas en la deep y dark web desde diciembre de 2021 hasta marzo de 2022.

Muchas de las direcciones IP asociadas a sitios rusos fueron mencionadas en sitios de pasta, donde se puede distribuir anónimamente un gran número de direcciones IP dirigidas.

En la imagen siguiente, se puede ver un post que fue compartido en Pastebin por un autor afiliado a un grupo llamado Shadow Hunters que anunció su plan para atacar sitios asociados con Rusia:

Un paste escrito por el grupo pro-ucraniano Shadow Hunters, filtrando cientos de dominios rusos con sus direcciones IPs asociadas.Un paste escrito por el grupo pro-ucraniano Shadow Hunters, filtrando cientos de dominios rusos con sus direcciones IPs asociadas.

 

Esta pasta contiene cientos de dominios rusos con sus direcciones IPs asociadas, que pueden ser explotadas en el futuro.

A continuación se puede ver otro ejemplo de IPs asociadas tomadas del canal de Telegram «IT Army ok Ukraine» que fue creado específicamente como parte de la guerra cibernética y está formado por un gran grupo de voluntarios de Ucrania. Su objetivo es reunir a los hackers para lanzar ataques masivos contra las direcciones IP rusas.
Un mensaje tomado del canal de Telegram del movimiento «IT ARMY OF UKRAINE», que reúne a personas para atacar direcciones IP rusas asociadas a Nspk.ruUn mensaje tomado del canal de Telegram del movimiento «IT ARMY OF UKRAINE», que reúne a personas para atacar direcciones IP rusas asociadas a Nspk.ru
¿Por qué se mencionan más COIs rusos que ucranianos?

Después de monitorizar todas estas menciones de COIs rusos y ucranianos (Indicadores de Compromiso como IP y dominios), encontramos que el número de veces que se mencionan COIs rusos es significativamente mayor que los de Ucrania.

Hay varias explicaciones posibles a esta diferencia:

Puede ser un indicio de que los ucranianos encuentran la web profunda y oscura como un espacio útil para movilizar a las masas para lanzar ciberataques contra sitios rusos, mientras que los rusos pueden utilizar herramientas más secretas o encriptadas para lanzar sus ataques.
Es posible que los ucranianos cuenten con un público más amplio en todo el mundo que les apoye y ayude, razón por la cual los detalles sensibles pertenecientes a Rusia se discuten tan ampliamente en las darknets.
Otra posible hipótesis es que, después de atacar los sitios del gobierno ucraniano, los rusos estén más inclinados a atacar organizaciones occidentales (en particular organizaciones estadounidenses) o incluso a contraatacar organizaciones que atacaron directamente a Rusia, como han indicado algunos de los colectivos prorrusos.

 

La guerra híbrida y la web profunda y oscura

La guerra entre Rusia y Ucrania es la primera vez que asistimos a una guerra híbrida de esta envergadura, que implica ciberataques y dos campos de ciberhacktivistas rivales que maniobran en la deep and dark web. Más que nunca, esta guerra ha demostrado que la ciberguerra es una parte integral de la guerra y los conflictos internacionales.

Dado que los ciberdelincuentes utilizan la web profunda y la web oscura como plataformas principales para enviar mensajes, comunicarse y compartir contenidos ilegales e incitadores, la necesidad de una supervisión de datos contextualizada y en tiempo real no hace más que aumentar.

La monitorización de dominios e IPs son ejemplos clásicos de indicadores en tiempo real que proporcionamos a organizaciones y empresas para potenciar su inteligencia sobre amenazas.

FUENTE: Hagar Margolin,Cyber Analyst

The Russia-Ukraine Cyber War in the Deep and Dark Web

By Saruman