Cómo la policía cibernética de Ucrania contraataca a los piratas informáticos rusos | TechCrunch

El 24 de febrero de 2022, Las fuerzas rusas invadieron Ucrania. Desde entonces, la vida en el país ha cambiado para todos.

Para las fuerzas ucranianas que tuvieron que defender su país, para los ciudadanos comunes que tuvieron que resistir fuerzas invasoras y constantes bombardeos, y para la Ciberpolicía de Ucrania, que tuvo que cambiar su enfoque y prioridades.

«Nuestra responsabilidad cambió después de que comenzó la guerra a gran escala», dijo Yevhenii Panchenko, jefe de división del Departamento de Policía Cibernética de la Policía Nacional de Ucrania, durante una charla el martes en la ciudad de Nueva York. «Las nuevas directivas quedaron bajo nuestra responsabilidad».

Durante la charla en la conferencia Chainalysis LINKS, Panchenko dijo que la Cyberpolice está compuesta por alrededor de mil empleados, de los cuales unos cuarenta rastrean delitos relacionados con las criptomonedas. La responsabilidad de la Policía Cibernética es combatir «todas las manifestaciones de delitos cibernéticos en el ciberespacio», afirmó Panchenko. Y después de que comenzó la guerra, dijo, “también fuimos responsables de la lucha activa contra la agresión en el ciberespacio”.

Panchenko se sentó para una amplia entrevista con TechCrunch el miércoles, donde habló sobre las nuevas responsabilidades de la Policía Cibernética en Ucrania en tiempos de guerra. Eso incluye rastrear qué crímenes de guerra están cometiendo los soldados rusos en el país, que a veces publican en las redes sociales; monitorear el flujo de criptomonedas que financian la guerra; exponer campañas de desinformación; investigar ataques de ransomware; y formar a la ciudadanía sobre buenas prácticas de ciberseguridad.

La siguiente transcripción ha sido editada para mayor brevedad y claridad.

TechCrunch: ¿Cómo cambió su trabajo y el de la policía después de la invasión?

Cambió casi por completo. Debido a que todavía tenemos algunas tareas regulares que siempre hacemos, somos responsables de todas las esferas de la investigación cibernética.

Tuvimos que trasladar algunas de nuestras unidades a diferentes lugares, por supuesto, a algunas organizaciones difíciles porque ahora tenemos que trabajar por separado. Y también agregamos algunas tareas nuevas y nuevas áreas de responsabilidad para nosotros cuando comenzó la guerra.

De la lista de nuevas tareas que tenemos, anhelamos información sobre los soldados rusos. Nunca hicimos eso. No tenemos ninguna experiencia antes de febrero de 2022. Y ahora intentamos recopilar toda la evidencia que tenemos porque también se adaptaron y comenzaron a ocultarse, como sus páginas de redes sociales que usamos para reconocer a las personas que participaban en la gran campaña. fuerzas invasoras que los rusos utilizaron para apoderarse de nuestras ciudades y matar a nuestra gente.

Además, somos responsables de identificar e investigar los casos en los que piratas informáticos rusos atacan a Ucrania. Atacan nuestra infraestructura, a veces DDoS [distributed denial-of-service attacks], a veces realizan desfiguraciones y también intentan alterar nuestra información en general. Entonces, es una esfera bastante diferente.

Debido a que no cooperamos con las autoridades rusas, es por eso que a veces no es fácil identificar o buscar información sobre direcciones IP u otras cosas. Necesitamos encontrar nuevas formas de cooperar sobre cómo intercambiar datos con nuestros servicios de inteligencia.

Algunas unidades también son responsables de defender la infraestructura crítica en la ciberesfera. También es una tarea importante. Y hoy en día, muchos ataques también tienen como objetivo infraestructuras críticas. No sólo los misiles, sino que los piratas informáticos también intentan obtener datos y destruir algunos recursos como la electricidad y otras cosas.

Cuando pensamos en soldados, pensamos en acciones del mundo real. ¿Pero hay algún delito que los soldados rusos estén cometiendo en línea?

[Russia] Utiliza las redes sociales para en ocasiones tomar fotografías y publicarlas en Internet, como era habitual en la primera etapa de la guerra. Cuando comenzó la guerra, probablemente durante tres o cuatro meses. [Russian soldiers] Publicó todo: vídeos y fotografías de las ciudades que fueron ocupadas temporalmente. Esa fue la evidencia que recopilamos.

Y a veces también hacen vídeos cuando filman en una ciudad, o usan tanques u otros vehículos con armas realmente grandes. Hay alguna evidencia de que no eligen el objetivo, simplemente disparan al azar. Es el vídeo que también recopilamos e incluimos en las investigaciones que nuestra oficina está realizando contra los rusos.

En otras palabras, ¿buscar pruebas de crímenes de guerra?

Sí.

¿Cómo ha cambiado el panorama del ransomware en Ucrania después de la invasión?

Ha cambiado porque Rusia ahora no sólo se centra en el lado monetario; su principal objetivo es mostrar a los ciudadanos y probablemente a algún sector público que [Russia] Es realmente efectivo y fuerte. Si tienen acceso al primer nivel, no profundizan, simplemente destruyen los recursos y tratan de desfigurarlos solo para demostrar que son realmente fuertes. Tienen hackers y grupos realmente eficaces que son responsables de ello. Ahora, no tenemos tantos casos relacionados con rescates, tenemos muchos casos relacionados con ataques de interrupción. Ha cambiado en ese sentido.

¿Ha sido más difícil distinguir entre criminales prorrusos y piratas informáticos del gobierno ruso?

Realmente difícil, porque no les gusta parecerse a una estructura gubernamental o a algunas unidades del ejército. Siempre encuentran un nombre realmente elegante como, no sé, ‘Fancy Bear’ otra vez. Intentan ocultar su verdadera naturaleza.

Pero vemos que después de que comenzó la guerra, sus ejércitos y servicios de inteligencia comenzaron a organizar grupos; tal vez no sean tan efectivos ni tan profesionales como algunos grupos que trabajaban antes de que comenzara la guerra. Pero organizan los grupos de forma masiva. [scale]. Comienzan con el desarrollo de nuevos socios, les asignan algunas tareas pequeñas y luego ven si son efectivos y realmente tienen éxito en una pequeña parte del conocimiento de TI. Luego avanzan y realizan algunas tareas nuevas. Ahora podemos ver muchas de las aplicaciones que también publican en internet sobre los resultados. Algunos no están relacionados con lo que hicieron los gobiernos o grupos de inteligencia, pero publican esa inteligencia. También utilizan sus propios recursos mediáticos para elevar el impacto del ataque.

¿Qué están haciendo los grupos de hackers prorrusos hoy en día? ¿En qué actividades se centran? Usted mencionó desfiguraciones de infraestructura crítica; ¿Hay algo más que estés rastreando?

Se parte de ataques básicos como DDoS para destruir las comunicaciones e intentar destruir los canales que utilizamos para comunicarnos. Luego, por supuesto, desfiguraciones. Además, recopilan datos. A veces lo publican en fuentes abiertas. Y a veces probablemente los recopilen, pero no los utilicen, para provocar interrupciones o para demostrar que ya tienen acceso.

A veces conocemos la situación cuando prevenimos un delito, pero también un ataque. Tenemos algunas señales de compromiso que probablemente fueron utilizadas por un gobierno y luego las compartimos con otros.

[Russia] También crea muchos canales de operaciones psicológicas. A veces el ataque no tuvo éxito. E incluso si no tienen ninguna evidencia, dirán «tenemos acceso al sistema de estructuras militares de Ucrania».

¿Cómo vas tras estos hackers? Algunos no están dentro del país y otros están dentro del país.

Eso es lo peor que tenemos ahora, pero es una situación que podría cambiar. Sólo necesitamos recopilar todas las pruebas y también realizar las investigaciones que podamos. Y también informamos a otros organismos encargados de hacer cumplir la ley en los países que cooperan con nosotros sobre los actores que identificamos como parte de los grupos que cometieron ataques en territorio ucraniano o en nuestra infraestructura crítica.

¿Por qué es importante? Porque si hablamos de algún soldado regular del ejército ruso, probablemente nunca vendrá a la Unión Europea ni a otros países. Pero si hablamos de algunos tipos inteligentes que ya tienen muchos conocimientos en piratería ofensiva, prefiere mudarse a lugares más cálidos y no trabajar desde Rusia. Como podrían reclutarlo en el ejército, podrían suceder otras cosas. Por eso es tan importante recopilar todas las pruebas y toda la información sobre la persona, luego también demostrar que estuvo involucrado en algunos ataques y compartir eso con nuestros socios.

Además, como tienes mucha memoria, puedes esperar y tal vez identificar a este hacker, dónde se encuentra en Rusia. Tienes toda la información, y luego, cuando estén en Tailandia o en algún lugar, puedes mudarte a ellos. ¿No necesariamente tienes prisa?

Atacan gran parte de nuestra infraestructura civil. Ese crimen de guerra no tiene caducidad. Por eso es tan importante. Podemos esperar 10 años y luego arrestarlo en España u otros países.

¿Qué hacen los cibervoluntarios y cuál es su papel?

No tenemos mucha gente hoy que sea voluntaria. Pero son personas realmente inteligentes de todo el mundo: Estados Unidos y la Unión Europea. También tienen algunos conocimientos en TI, a veces en análisis de blockchain. Nos ayudan a proporcionar análisis contra los rusos, recopilar datos sobre las billeteras que utilizan para las campañas de recaudación de fondos y, en ocasiones, también nos informan sobre la nueva forma o nuevo grupo que los rusos crean para coordinar sus actividades.

Es importante porque no podemos cubrir todas las cosas que están sucediendo. Rusia es un país realmente grande, tiene muchos grupos, tiene mucha gente involucrada en la guerra. Este tipo de cooperación con los voluntarios es realmente importante ahora, sobre todo porque ellos también tienen un mejor conocimiento de los idiomas locales.

A veces tenemos voluntarios que están muy cerca de los países de habla rusa. Eso nos ayuda a entender qué están haciendo exactamente. También hay una comunidad de chicos de TI que también se comunican directamente con nuestros voluntarios. Es importante y nos gusta mucho invitar a otras personas a esa actividad. No es ilegal ni nada por el estilo. Simplemente brindan la información y pueden decirnos qué pueden hacer.

¿Qué pasa con los piratas informáticos proucranianos como el ejército de TI de Ucrania? ¿Se les deja simplemente hacer lo que quieran o también son objetivos potenciales de investigación?

No, no cooperamos directamente con ellos.

Tenemos otro proyecto que también involucra a muchos suscriptores. También hablé de ello durante mi presentación: se llama BRAMA. Es una puerta de entrada y coordinamos y reunimos personas. Una cosa que proponemos es bloquear y destruir la propaganda y las operaciones psicológicas rusas en Internet. Hemos sido realmente eficaces y hemos obtenido resultados realmente importantes. Bloqueamos más de 27.000 recursos que pertenecen a Rusia. Publican sus narrativas, publican muchos materiales de operaciones psicológicas. Y hoy también agregamos algunas funciones nuevas en nuestra comunidad. No sólo luchamos contra la propaganda, también luchamos contra el fraude, porque muchos de los fraudes que hoy se presentan en el territorio de Ucrania también son creados por los rusos.

También tienen un gran impacto en eso, porque si blanquean y quitan dinero de nuestros ciudadanos, podríamos ayudar. Y es por eso que incluimos esas actividades, para reaccionar proactivamente a las historias que recibimos de nuestros ciudadanos, de nuestros socios, sobre nuevos tipos de fraude que podrían estar ocurriendo en Internet.

Y también brindamos capacitación a nuestros ciudadanos sobre ciberhigiene y ciberseguridad. También es importante hoy porque los piratas informáticos rusos no sólo atacan la infraestructura crítica o las estructuras gubernamentales, sino que también intentan obtener algunos datos de nuestra gente.

Por ejemplo, Telegrama. Ahora no es un gran problema pero es un nuevo desafío para nosotros, porque primero envían material interesante y piden a las personas que se comuniquen o interactúen con bots. En Telegram, puedes crear bots. Y si simplemente escribe dos veces, ellos obtienen acceso a su cuenta, cambian el número, cambian la autenticación de dos factores y perderá su cuenta.

¿Se hace fraude para recaudar fondos para la guerra?

Sí.

¿Puedes contarme más sobre la recaudación de fondos rusa? ¿Dónde lo hacen y quién les da dinero? ¿Están usando blockchain?

Hay algunos beneficios y también desventajas que las criptomonedas podrían brindarles. En primer lugar, [Russians] Usa mucho las criptomonedas. Crean casi todo tipo de billeteras. Comienza desde Bitcoin hasta Monero. Ahora entienden que algunos tipos de criptomonedas son realmente peligrosos para ellos porque muchos de los intercambios cooperan y también confiscan los fondos que recaudan para ayudar a sus militares.

¿Cómo va tras este tipo de recaudación de fondos?

Si usan criptografía, etiquetamos las direcciones y hacemos alguna atribución. Es nuestro principal objetivo. Ese es también el tipo de actividades que nuestros voluntarios nos ayudan a realizar. Somos realmente eficaces en eso. Pero si utilizan algunos bancos, sólo podríamos recopilar los datos y entender quién es exactamente el responsable de esa campaña. Las sanciones son la única buena manera de hacerlo.

¿Qué es la ciberresistencia?

La ciberresistencia es el gran desafío para nosotros. Queríamos jugar esa ciberresistencia en el ciberespacio para nuestros usuarios, para nuestros recursos. En primer lugar, si hablamos de usuarios, partimos de formar y también de compartir algunos consejos y conocimientos con nuestros ciudadanos. La idea es cómo se podría reaccionar ante los ataques que se esperan en el futuro.

¿Cómo utiliza el gobierno ruso las criptomonedas después de la invasión?

Rusia no cambió todo en criptografía. Pero se adaptaron porque vieron que había muchas sanciones. Crean nuevas formas de blanquear dinero para evitar la atribución de las direcciones que utilizaban para sus infraestructuras y para pagar o recibir fondos. En criptografía es realmente fácil crear muchas direcciones. Antes no lo hacían tanto, pero ahora lo usan con frecuencia.