Que la guerra en Ucrania se gesta también online ya lo sabíamos. Y hoy hemos conocido una nueva técnica de las autoridades de Rusia para robar información: piratas informáticos del gobierno ruso intentaron engañar a voluntarios ucranianos e internacionales para que utilizaran una aplicación de Android. Esta prometía lanzar ataques de denegación de servicio distribuidos (DDoS) contra sitios rusos, pero en realidad llevaba malware.
Esto lo ha descubierto Google y VICE se ha hecho eco de ello. Un colectivo informal de tecnólogos y hackers se ha organizado bajo una organización cuasi-hacktivista llamada IT Army, y han lanzado constantes y persistentes ciberataques contra sitios web rusos.
Shane Huntley, el jefe del equipo de investigación de Google Threat Analysis Group, dice que los hackers del gobierno ruso han tratado de explorar nuevas técnicas. Esta vez con una aplicación falsa. "No todos sus intentos (de innovar) funcionan y no todos sus enfoques lo hacen, pero hay una considerable innovación en las formas y cosas que están probando y me parece casi una mentalidad experimental."
Así funcionaba la aplicación
Los investigadores de Google escribieron en el informe que la aplicación fue creada por el grupo de hackers conocido como Turla, que varias empresas de ciberseguridad creen que trabaja para el Kremlin.
Los hackers se hicieron pasar por una "comunidad de personas libres de todo el mundo que luchan contra la agresión rusa", como el Ejército de TI. Pero la aplicación que desarrollaron era en realidad un malware. Los hackers la llamaron CyberAzov, en referencia al Regimiento o Batallón Azov, un grupo de extrema derecha que se ha convertido en parte de la guardia nacional de Ucrania. Para añadir más credibilidad, alojaron la aplicación en un dominio "falso" del Regimiento Azov: cyberazov[.]com.
Según Huntely, la aplicación no realizó ataques DDoS o de denegación de servicio, sino que fue diseñada para trazar un mapa y averiguar quién querría usar una aplicación de este tipo para atacar sitios web rusos. Así se puede "averiguar cómo es la infraestructura y dónde están las personas que pueden realizar este tipo de ataques". La aplicación falsa no estaba alojada en la Play Store.
Ver 2 comentarios