El Reino Unido y nueve aliados internacionales han destapado una campaña de ciberespionaje y sabotaje digital dirigida por la Unidad 29155 de la inteligencia militar de origen ruso (GRU). Desde al menos 2020, esta unidad ha llevado a cabo operaciones maliciosas contra gobiernos y organizaciones de infraestructuras críticas en todo el mundo. Este es el primer caso en el que el Reino Unido señala públicamente a esta unidad específica, también conocida como el Centro de Entrenamiento Especializado 161, como responsable de una serie de ciberataques globales.
La Unidad 29155 ha sido identificada como una fuerza clave en la expansión de las operaciones cibernéticas ofensivas del GRU, con el objetivo de espionaje, sabotaje y daño reputacional a gobiernos y organizaciones clave. En su conjunto, la campaña llevada a cabo por el GRU desde 2020 ha sido diseñada para debilitar las infraestructuras críticas, robar información sensible y comprometer a organizaciones de todo el mundo.
Hasta ahora, se sabía que otras unidades del GRU, como la Unidad 26165 (conocida como «Fancy Bear») y la Unidad 74455 («Sandworm»), estaban implicadas en ciberataques, pero la exposición de la Unidad 29155 marca una nueva etapa en el reconocimiento de los actores del espionaje digital ruso. Lo que diferencia a esta unidad es su reciente expansión en operaciones cibernéticas más agresivas, como el uso de malware destructivo. Además, se ha comprobado que el grupo ha trabajado con actores no relacionados con el GRU, incluidos cibercriminales conocidos, para llevar a cabo algunas de estas acciones.
El impacto del malware ‘Whispergate’
Uno de los aspectos más preocupantes de esta campaña de ciberespionaje de origen ruso descubierta por Reino Unido es el uso del malware Whispergate, desplegado específicamente contra organizaciones ucranianas antes de la invasión de Rusia en 2022. Según los informes, Whispergate fue diseñado para sabotear redes mediante la destrucción de datos, una táctica que la Unidad 29155 utilizó con el objetivo de debilitar las capacidades digitales de Ucrania.
El Reino Unido y sus aliados atribuyeron por primera vez el uso de Whispergate a la inteligencia militar rusa en 2022. Sin embargo, en la reciente advertencia conjunta, los expertos en ciberseguridad han señalado directamente a la Unidad 29155 como la responsable de estos ataques, lo que proporciona un mayor nivel de claridad sobre la cadena de mando en las operaciones de ciberespionaje de Rusia.
El malware Whispergate representa una amenaza significativa no solo para Ucrania, sino también para otros países que han ofrecido apoyo a Ucrania durante el conflicto. La Unidad 29155 parece haberse centrado en organizaciones que brindan asistencia directa o indirecta a Ucrania, utilizando el ciberespacio como una extensión de la guerra física que se libra en el terreno.
Consecuencias de la campaña de ciberespionaje
La campaña de ciberespionaje del GRU ha tenido implicaciones importantes a nivel global. Entre los países afectados se incluyen no solo naciones europeas, sino también Canadá, Australia y Estados Unidos. Según la advertencia emitida por el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, los ataques han apuntado a una variedad de sectores, desde infraestructuras críticas hasta organizaciones gubernamentales. Las tácticas empleadas por la Unidad 29155 van desde el robo de datos hasta el sabotaje de sistemas mediante el uso de malware destructivo.
El director de operaciones del NCSC, Paul Chichester, ha declarado que “la exposición de la Unidad 29155 como un actor cibernético capaz ilustra la importancia que la inteligencia militar rusa otorga al uso del ciberespacio para perseguir sus prioridades estatales ilegales, incluida la guerra en Ucrania”. Esta revelación subraya el creciente papel que juegan las operaciones cibernéticas en los conflictos modernos, donde el campo de batalla se ha trasladado a las redes digitales.
Entre las medidas sugeridas contra esta amenaza se incluyen la implementación de sistemas de detección de amenazas, el refuerzo de las barreras de seguridad cibernética y la monitorización constante de la infraestructura digital para identificar y neutralizar actividades sospechosas.