Se los conoce por los nombres de Nobellium, APT29 y Cozy Bear entre otros. Grandes empresas como Microsoft y servicios de inteligencia de todo el mundo les consideran parte del espionaje ruso. Su ultimo ataque se ha producido contra los organismos de cooperación de EEUU unas semanas antes del cara a cara entre Joe Biden y Vladimir Putin.
Llevan años poniendo contra las cuerdas a gobiernos, partidos políticos y empresas de medio mundo. Su lista de operaciones conocidas es larga. Tan larga que a servicios de inteligencia y empresas de ciberseguridad les ha costado años encontrar un hilo conductor entre todas ellas.
Por eso se les conoce por una decena de nombres distintos y en algunos casos se tardan meses o incluso años en saber que fueron ellos quienes se encontraban detrás de un ciberataque de gran envergadura.
Sin embargo, según advirtió Microsoft, hoy se encuentran en plena ofensiva contra más de 150 empresas e instituciones entre las que se incluye USAid (la agencia gubernamental de EEUU para la cooperación internacional) gracias a un acceso que lograron en diciembre.
Un gesto que los analistas norteamericanos interpretan como un disparo de advertencia de Moscú al Gobierno estadounidense tres semanas antes que ambos presidentes se vean las caras por primera vez.
Nobelium, APT29, Cozy Bear (oso amistoso, en castellano), CozyCar, CozyDuke, Dark Halo, The Dukes, Office Monkeys, Stellar Particle, UNC2452 o Ytrrium. Estos son los distintos nombres por los que se conoce a este peligroso grupo.
Unos nombres con los que distintos organismos de inteligencia y ciberseguridad occidentales los fueron bautizando después de cada una de sus operaciones hasta darse cuenta de que todos ellos apuntaban hacia un mismo sitio: los servicios de inteligencia rusos.
Además, desde empresas como Kaspersky hasta el FBI coinciden en señalar que se trata de un grupo amplio, profesionalizado, militarizado y altamente jerarquizado con distintas divisiones operativas que desarrollan sus operaciones áreas como la política, la energía, la diplomacia o el sector de las telecomunicaciones.
Se sospecha que estos grupos de ciberdelincuentes tienen relación con el Kremlin.
Cooperación con servicios de inteligencia estatal
A diferencia de los ciberdelincuentes tradicionales, cuyos objetivos son principalmente económicos empleando el robo, la estafa o la extorsión, Nobelium desarrolla su actividad en el ámbito de los servicios de inteligencia y lleva a cabo operaciones englobadas en el ámbito del ciberespionaje. Una razón por la que sus operaciones encuentran una lectura geopolítica y diplomática más allá del simple ámbito de la ciberseguridad.
Prueba de ello son sus objetivos elegidos: el Partido Demócrata norteamericano, el Pentágono, ministerios de distintos países de la Unión Europea, importantes usinas de pensamiento y lobbies que se encuentran tras la implementación de nuevas políticas en democracias occidentales o el robo de información científica los centros de investigación más punteros en el desarrollo de la vacuna contra el coronavirus, entre otros muchos.
"Se trata de un ejemplo sobre cómo los ciberataques se han convertido en la herramienta de elección de cada vez más estados-nación para cumplir una amplia variedad de objetivos políticos", señaló sobre ellos Microsoft en un comunicado, citado por el diario español El Mundio.
Los primeros en señalar su carácter altamente profesional y los nexos de este grupo con el FSB (el servicio de inteligencia exterior del gobierno ruso) y el SVR (el servicio de inteligencia exterior de Rusia) fueron los servicios secretos holandeses.
La inteligencia de Ámsterdam tiene el mérito de ser la única en el mundo que fue capaz de llevar a cabo una infiltración con éxito en la organización y alertó a servicios de inteligencia de países amigos (como EEUU) de las operaciones llevadas a cabo desde Rusia.
Desde entonces, no han vuelto a sufrir una brecha de seguridad y la mayor parte de esta información que se ha ido recopilando sobre este grupo con el paso de los años ha sido a partir de técnicas forenses estudiando los rastros de sus ciberataques.
Este grupo de ciberdelincuentes se encuentra en plena ofensiva contra los sistemas informáticos de más de 150 organizaciones gubernamentales y humanitarias en al menos 24 países con Estados Unidos con nexo común entre todos ellos.
Y es que, la actual ofensiva de los ciberdelincuentes vinculados a Moscú es una continuación de la grave intrusión contra SolarWinds, una empresa informática de Estados Unidos que proporciona software para más de 33.000 empresas y organizaciones de todo el mundo entre las que se encuentran las principales compañías del planeta, gobiernos y organismos públicos.
Los ciberdelincuentes apuntan a servidores estratégicos de estados y empresas.
Cuando se produjo el ataque, SolarWinds aseguro que la información de estas empresas y organizaciones podría ahora estar en manos de "una potencia extranjera", señalando de forma tácita hacia Rusia.
De este modo, el ataque a SolarWinds por parte de este grupo de hackers de la órbita de Moscú no responde a un fin en sí mismo, sino a un punto de partida desde el que emprender nuevos ataques en futuras ofensivas como la que se produce estos días.
Además de los objetivos finalistas de cada ataque (sabotaje informático, descrédito a la organización objetivo, lograr información de inteligencia, enviar una advertencia por canales de inteligencia atípicos...) estos funcionan a su vez como un tronco del que pueden surgir futuras ramificaciones, según explicó Microsoft.
Este podría ser de nuevo el caso de USAID, la Agencia de los Estados Unidos para el Desarrollo Internacional, que utiliza sus fondos para promover acciones humanitarias. Sin embargo, no se trata de un organismo concreto. Países de América Latina, Rusia y otros del entorno de la extinta Unión Soviética acusan a esta agencia de trabajar junto a la CIA como un agente desestabilizador en sus países.
De hecho, los proyectos de USAID (y de organizaciones subordinadas que a su vez financiación de USAID) se encuentran prohibidos (o tremendamente restringidos) en Rusia y otros países de su órbita.