Este es el modo de operar del grupo de ciberespionaje que atacó al ICE y 41 países más

El ataque cibernético que afectó al Instituto Costarricense de Electricidad (ICE) habría sido ejecutado mediante un software malicioso identificado como GRIDTIDE, una herramienta de intrusión asociada al grupo de ciberespionaje UNC2814, según información técnica divulgada por la empresa Google a través de su unidad de análisis de amenazas.

De acuerdo con los reportes del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), el incidente permitió la extracción de aproximadamente nueve gigabytes de correos electrónicos de empleados de la institución. El ataque, al parecer, se ejecutó desde febrero y fue detectado posteriormente, durante labores de análisis de seguridad.

El ingeniero en ciberseguridad y profesor universitario costarricense, Ariel Ramos Ortega, explicó a Teletica.com que el seguimiento a este grupo de ciberdelincuentes se remonta a varios años atrás.

“Todo nace porque Google, desde ya hace un tiempo, viene dando seguimiento a este grupo delictivo de ciberdelincuentes desde el 2017.

“Una de las cosas que ayudó en este proceso al ICE y al Micitt, y a muchas empresas más, es que hay proveedores de servicios de ciberseguridad que nos envían boletines de datos de que encontraron ciertas cosas y eso ayuda a monitorear los ciberataques y a los grupos”, afirmó Ramos.

Sobre la reacción institucional, Ramos indicó que los tiempos de respuesta se encuentran dentro de parámetros aceptables. “El tiempo de respuesta del Micitt y el ICE está entre lo aceptable”, dijo.

También explicó que los atacantes utilizaron herramientas comunes en línea para ocultar su actividad.

“Este grupo es muy hábil porque usaron Google Sheets, que es como un canal de control y transmisión de información, permitiendo que los operadores del ataque envíen instrucciones y reciban resultados a través de celdas en una hoja de cálculo”, indicó.

"Esta herramienta funciona de manera similar a una hoja de cálculo tradicional. Este es un programa como de Excel de Google, que tiene comandos que se ejecutan y extraen información del usuario, entorno y logran así extraer información”, agregó el experto.

Ramos explicó que el objetivo de estos grupos suele ser la recopilación de datos para posibles usos posteriores.

“Este grupo lo que trata es tener datos de muchos lugares e instituciones que pueden aprovechar para un dato futuro; si hallo credenciales luego puedo ingresar a otros sitios no seguros y de ahí extraer información muy valiosa”, afirmó.

El especialista también señaló que este mismo grupo ha sido detectado en otros países de la región. “Otros países como Chile, Brasil y Colombia ya han visto afectadas algunas de sus instituciones por este mismo grupo”, dijo.

Ramos añadió que la cooperación entre instituciones es clave para enfrentar este tipo de amenazas. Asimismo, indicó que los ciberataques pueden planificarse durante largos periodos.

“A veces, los ataques pueden planificarse con hasta seis meses de planificación, incluso si no se ataca de forma automatizada por parte de la institución puede seguir enviando información”, señaló el experto.

Información divulgada por Google sobre el ataque

La Inteligencia de Amenazas de Google informó el pasado 25 de febrero, a través de un boletín, que Google Threat Intelligence Group (GTIG), Mandiant y sus socios actuaron para interrumpir una campaña global de espionaje dirigida a organizaciones de telecomunicaciones y gubernamentales en decenas de países de cuatro continentes.

Según el informe, el autor de la amenaza es UNC2814, un grupo de ciberespionaje sospechoso de tener nexos con la República Popular China (RPC), al que investigadores han dado seguimiento desde 2017.

Google también indicó que este actor ha mantenido una larga historia de ataques contra gobiernos y organizaciones globales de telecomunicaciones en África, Asia y América, y que mantenía intrusiones confirmadas en 42 países cuando se ejecutó la interrupción de la campaña.

De acuerdo con la información técnica, investigadores de Mandiant descubrieron que UNC2814 estaba aprovechando una puerta trasera identificada como GRIDTIDE. Esta actividad, según Google, no se debe a una vulnerabilidad en los productos de la compañía, sino al abuso de la funcionalidad legítima de la API de Google Sheets para disfrazar el tráfico de comando y control (C2).

Además, al 18 de febrero, la investigación del Google Threat Intelligence Group confirmó que UNC2814 había afectado a 53 víctimas en 42 países de cuatro continentes, entre ellos Costa Rica, además de identificar infecciones sospechosas en al menos 20 países adicionales.

¿Qué dijo el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones de Costa Rica (Micitt)?

Paula Bogantes, la ministra del Micitt, manifestó en conferencia de prensa brindada este jueves desde Casa Presidencial que el análisis forense por parte del ente experto (Google) confirmó la presencia del actor de amenaza con enfoque en la industria de telecomunicaciones costarricense, cuyo objetivo es el ciberespionaje.

"El Micitt contactó al gobierno de EE. UU., que nos está apoyando para la atención del incidente, este actor de amenaza ha sido identificado en 42 países y su enfoque es el sector de telecomunicaciones enfocado en el ciberespionaje.

"Actualmente, estamos en el proceso de análisis forense. Creemos que el ataque fue perpetuado por parte de un actor de amenaza con posible origen de China", dijo Bogantes.

Por su parte, el presidente del ICE, Marco Acuña confirmó que lograron notar la extracción de 9 gigabyte de información de correos electrónicos, entre otros, y recalcó que no hay información sensible comprometida.

"Se ha confirmado que hay información de correos internos y no de clientes, además, la actividad se ha presentado en las redes empresariales y no de telecomunicaciones", agregó Acuña.