Los ataques de malware de los acusados causaron casi mil millones de dólares en pérdidas a tres víctimas solas; También buscó interrumpir las elecciones francesas de 2017 y los Juegos Olímpicos de Invierno de 2018.
Antilavadodedinero / Justice.gov
El 15 de octubre de 2020, un gran jurado federal en Pittsburgh presentó una acusación formal contra seis piratas informáticos, todos los cuales eran residentes y ciudadanos de la Federación de Rusia (Rusia) y oficiales de la Unidad 74455 de la Dirección Principal de Inteligencia de Rusia (GRU), una agencia de inteligencia militar del Estado Mayor de las Fuerzas Armadas.
Estos piratas informáticos de GRU y sus co-conspiradores participaron en intrusiones y ataques informáticos destinados a apoyar los esfuerzos del gobierno ruso para socavar, tomar represalias o desestabilizar de otra manera: (1) Ucrania; (2) Georgia; (3) elecciones en Francia; (4) esfuerzos para responsabilizar a Rusia por el uso de un agente nervioso apto para armas, Novichok, en suelo extranjero; y (5) los Juegos Olímpicos de Invierno de PyeongChang 2018 después de que se prohibiera a los atletas rusos participar bajo la bandera de su país, como consecuencia del esfuerzo de dopaje patrocinado por el gobierno ruso.
Sus ataques informáticos utilizaron algunos de los programas maliciosos más destructivos del mundo hasta la fecha, incluidos: KillDisk e Industroyer, que causaron apagones en Ucrania; NotPetya, que causó pérdidas por casi mil millones de dólares a las tres víctimas identificadas solo en la acusación; y Olympic Destroyer, que interrumpió miles de computadoras utilizadas para apoyar los Juegos Olímpicos de Invierno de PyeongChang 2018. La acusación formal acusa a los acusados de conspiración, piratería informática, fraude electrónico, robo de identidad agravado y registro falso de un nombre de dominio.
Según la acusación, a partir de noviembre de 2015 o alrededor de esa fecha y hasta al menos alrededor de octubre de 2019, los acusados y sus co-conspiradores desplegaron malware destructivo y tomaron otras acciones disruptivas, para el beneficio estratégico de Rusia, a través del acceso no autorizado a la víctima. computadoras (piratería). Como se alega, la conspiración fue responsable de las siguientes intrusiones y ataques informáticos destructivos, disruptivos o desestabilizadores:
- Gobierno de Ucrania e infraestructura crítica : de diciembre de 2015 a diciembre de 2016, ataques de malware destructivo contra la red eléctrica de Ucrania, el Ministerio de Finanzas y el Servicio de Tesorería del Estado, utilizando malware conocido como BlackEnergy, Industroyer y KillDisk;
- Elecciones francesas : campañas de phishing de abril y mayo de 2017 y esfuerzos relacionados de piratería y filtración dirigidos a “La République En Marche” del presidente francés Macron. (¡En Marche!) Partido político, políticos franceses y gobiernos locales franceses antes de las elecciones francesas de 2017;
- Empresas mundiales e infraestructura crítica (NotPetya) : ataques de malware destructivo del 27 de junio de 2017 que infectaron computadoras en todo el mundo utilizando malware conocido como NotPetya, incluidos hospitales y otras instalaciones médicas en el Heritage Valley Health System (Heritage Valley) en el distrito occidental de Pensilvania; una subsidiaria de FedEx Corporation, TNT Express BV; y un gran fabricante de productos farmacéuticos de Estados Unidos, que en conjunto sufrieron pérdidas por casi mil millones de dólares por los ataques;
- Anfitriones, participantes, socios y asistentes de los Juegos Olímpicos de Invierno de PyeongChang : campañas de phishing y aplicaciones móviles maliciosas de diciembre de 2017 a febrero de 2018 dirigidas a ciudadanos y funcionarios de Corea del Sur, atletas olímpicos, socios y visitantes, y funcionarios del Comité Olímpico Internacional (COI);
- Sistemas de TI de los Juegos Olímpicos de Invierno de PyeongChang (Destructor Olímpico) : intrusiones de diciembre de 2017 a febrero de 2018 en las computadoras que respaldan los Juegos Olímpicos de Invierno de PyeongChang 2018, que culminaron con el ataque de malware destructivo del 9 de febrero de 2018 contra la ceremonia de apertura, utilizando un malware conocido como Destructor Olímpico ;
- Investigaciones de envenenamiento de Novichok : campañas de phishing de abril de 2018 dirigidas a las investigaciones de la Organización para la Prohibición de las Armas Químicas (OPCW) y el Laboratorio de Ciencia y Tecnología de Defensa del Reino Unido (DSTL) sobre el envenenamiento por agentes nerviosos de Sergei Skripal, su hija y varios ciudadanos del Reino Unido ; y
- Empresas y entidades gubernamentales de Georgia : una campaña de spearphishing de 2018 dirigida a una importante empresa de medios, esfuerzos de 2019 para comprometer la red del Parlamento y una amplia campaña de desfiguración de sitios web en 2019.
Los investigadores de ciberseguridad han rastreado a los conspiradores y su actividad maliciosa utilizando las etiquetas «Sandworm Team», «Telebots», «Voodoo Bear» y «Iron Viking».
Los cargos fueron anunciados por el Secretario de Justicia Auxiliar John C. Demers; El subdirector del FBI, David Bowdich; El Fiscal Federal para el Distrito Oeste de Pensilvania Scott W. Brady; y los agentes especiales a cargo de las oficinas de campo del FBI en Atlanta, Oklahoma City y Pittsburgh, JC “Chris” Hacker, Melissa R. Godbold y Michael A. Christman, respectivamente.
“Ningún país ha armado sus capacidades cibernéticas de manera tan maliciosa o irresponsable como Rusia, causando sin precedentes daños sin precedentes para perseguir pequeñas ventajas tácticas y satisfacer arrebatos de rencor”, dijo el Secretario de Justicia Auxiliar de Seguridad Nacional, John C. Demers. “Hoy, el departamento ha acusado a estos oficiales rusos de llevar a cabo la serie de ataques informáticos más disruptivos y destructivos jamás atribuidos a un solo grupo, incluido el desencadenamiento del malware NotPetya. Ninguna nación recuperará la grandeza si se comporta de esta manera «.
“El FBI ha advertido en repetidas ocasiones que Rusia es un adversario cibernético altamente capaz, y la información revelada en esta acusación ilustra cuán penetrantes y destructivas son realmente las actividades cibernéticas de Rusia”, dijo el subdirector del FBI, David Bowdich. “Pero esta acusación también destaca las capacidades del FBI. Tenemos las herramientas para investigar estos ataques de malware malicioso, identificar a los perpetradores y luego imponerles riesgos y consecuencias. Como se demostró hoy, perseguiremos sin descanso a aquellos que amenazan a los Estados Unidos y sus ciudadanos ”.
«Durante más de dos años hemos trabajado incansablemente para exponer a estos oficiales rusos de GRU que participaron en una campaña global de piratería, interrupción y desestabilización, que representa los ciberataques más destructivos y costosos de la historia», dijo el fiscal estadounidense Scott W. Brady para el Distrito Occidental de Pensilvania. “Los crímenes cometidos por funcionarios del gobierno ruso fueron contra víctimas reales que sufrieron daños reales. Tenemos la obligación de responsabilizar a quienes cometen delitos, sin importar dónde residan ni para quién trabajen, a fin de buscar justicia en nombre de estas víctimas ”.
“El talento excepcional y la dedicación de nuestros equipos en Pittsburgh, Atlanta y Oklahoma City que pasaron años rastreando a estos miembros del GRU es incomparable”, dijo el agente especial a cargo del FBI en Pittsburgh, Michael A. Christman. «Estos delincuentes subestimaron el poder de la inteligencia, los recursos y la experiencia compartidos a través de la aplicación de la ley, el sector privado y las asociaciones internacionales».
Los acusados, Yuriy Sergeyevich Andrienko (Юрий Сергеевич Андриенко), 32; Sergey Vladimirovich Detistov (Сергей Владимирович Детистов), 35 años; Pavel Valeryevich Frolov (Павел Валерьевич Фролов), 28 años; Anatoliy Sergeyevich Kovalev (Анатолий Сергеевич Ковалев), 29 años; Artem Valeryevich Ochichenko (Артем Валерьевич Очиченко), 27 años; y Petr Nikolayevich Pliskin (Петр Николаевич Плискин), de 32 años, están todos acusados de siete cargos: conspiración para cometer fraude y abuso informáticos, conspiración para cometer fraude electrónico, fraude electrónico, dañar computadoras protegidas y robo de identidad agravado. A cada acusado se le imputan todos los cargos. Sin embargo, los cargos contenidos en la acusación son meras acusaciones y los acusados se presumen inocentes a menos que y hasta que se pruebe su culpabilidad más allá de una duda razonable.
La acusación formal acusa a cada acusado de cometer los siguientes actos abiertos en apoyo de los delitos imputados:
Acusado | Resumen de actos abiertos |
Yuriy Sergeyevich Andrienko | · Desarrollo de componentes del malware NotPetya y Olympic Destroyer. |
Sergey Vladimirovich Detistov | · Componentes desarrollados del malware NotPetya; y· Campañas preparadas de spearphishing dirigidas a los Juegos Olímpicos de Invierno de PyeongChang 2018. |
Pavel Valeryevich Frolov | · Desarrollo de componentes del malware KillDisk y NotPetya. |
Anatoliy Sergeyevich Kovalev | · Desarrollé técnicas y mensajes de spearphishing utilizados para apuntar a:- ¡En Marche! funcionarios;- empleados de la DSTL;- miembros del COI y deportistas olímpicos; y- empleados de una entidad mediática de Georgia. |
Artem Valeryevich Ochichenko | · Participó en campañas de phishing dirigidas a socios de los Juegos Olímpicos de Invierno de PyeongChang 2018; y· Realizó un reconocimiento técnico del dominio oficial del Parlamento de Georgia e intentó obtener acceso no autorizado a su red. |
Petr Nikolayevich Pliskin | · Desarrollo de componentes del malware NotPetya y Olympic Destroyer. |
Los acusados y sus cómplices causaron daños e interrupciones en las redes informáticas en todo el mundo, incluidos Francia, Georgia, los Países Bajos, la República de Corea, Ucrania, el Reino Unido y los Estados Unidos.
El malware NotPetya, por ejemplo, se extendió por todo el mundo, dañó las computadoras utilizadas en la infraestructura crítica y provocó enormes pérdidas financieras. Sin embargo, esas pérdidas fueron solo una parte del daño. Por ejemplo, el malware NotPetya afectó la prestación de servicios médicos críticos de Heritage Valley a los ciudadanos del Distrito Occidental de Pensilvania a través de sus dos hospitales, 60 oficinas y 18 instalaciones comunitarias satélite. El ataque provocó la falta de disponibilidad de listas de pacientes, historial de pacientes, archivos de exámenes físicos y registros de laboratorio. Heritage Valley perdió el acceso a sus sistemas informáticos de misión crítica (como los relacionados con cardiología, medicina nuclear, radiología y cirugía) durante aproximadamente una semana y a los sistemas informáticos administrativos durante casi un mes, lo que provocó una amenaza para la salud y la seguridad públicas.
La conspiración para cometer fraude y abuso informáticos conlleva una sentencia máxima de cinco años de prisión; la conspiración para cometer fraude electrónico conlleva una sentencia máxima de 20 años de prisión; los dos cargos de fraude electrónico conllevan una sentencia máxima de 20 años de prisión; el daño intencional a una computadora protegida conlleva una sentencia máxima de 10 años de prisión; y los dos cargos de robo de identidad agravado conllevan una sentencia preceptiva de dos años de prisión. La acusación formal también alega el registro falso de nombres de dominio, lo que aumentaría la pena máxima de prisión por fraude electrónico a 27 años de prisión; la pena máxima de prisión por daño intencional a una computadora protegida a 17 años de prisión; y la pena privativa de libertad por robo de identidad agravado a cuatro años de prisión.
El acusado Kovalev fue acusado anteriormente en la acusación federal número CR 18-215, en el Distrito de Columbia, de conspirar para obtener acceso no autorizado a las computadoras de personas y entidades estadounidenses involucradas en la administración de las elecciones estadounidenses de 2016.
La abogada litigante Heather Alpino y el subjefe Sean Newell de la Sección de Contrainteligencia y Control de Exportaciones de la División de Seguridad Nacional y los Fiscales Federales Auxiliares Charles Eberle y Jessica Smolar de la Fiscalía Federal para el Distrito Oeste de Pensilvania están procesando este caso. Las oficinas de campo del FBI en Atlanta, Oklahoma City y Pittsburgh llevaron a cabo la investigación, con la ayuda de la División Cibernética del FBI.
La Oficina de Asuntos Internacionales de la División de lo Penal brindó asistencia fundamental en este caso. El departamento también agradece la importante cooperación y asistencia brindada por las autoridades ucranianas, los gobiernos de la República de Corea y Nueva Zelanda, las autoridades georgianas y los servicios de inteligencia del Reino Unido, así como muchos de los agregados legales del FBI y otras autoridades extranjeras alrededor del país. mundo. Numerosas víctimas cooperaron y brindaron una valiosa asistencia en la investigación.
El departamento también agradece a Google, incluido su Threat Analysis Group (TAG); Cisco, incluido su Talos Intelligence Group; Facebook; y Twitter, por la asistencia que brindaron en esta investigación. Algunas empresas del sector privado deshabilitaron de forma independiente numerosas cuentas por violaciones de los términos de servicio de las empresas.