Como hemos dicho, si hasta este año el GRU era uno de los servicios más opacos del mundo, en 2018 todo cambia. Tres hechos destacan en la cronografía, que concluyen con la muerte del Teniente General KOROBOV en noviembre; vamos a ver en este apartado el primero de ellos -y en los sucesivos los dos siguientes-, ocurrido en el mes de julio.
El trece de julio el Departamento de Justicia (DoJ) estadounidense publica [1], un documento de acusación contra doce agentes del GRU -citados directamente con nombre y apellidos- a los que relaciona con una posible injerencia rusa en las elecciones presidenciales de 2016. Quien firma el documento es nada más y nada menos que Robert Mueller, asesor del DoJ que coordina las investigaciones sobre este ámbito -el de la relación de Rusia con la selecciones presidenciales estadounidenses- y que, entre otras cosas, fue director del FBI durante más de diez años. Tras esta acusación, el FBI incluye entre sus “Cyber most wanted” a los doce agentes del servicio, resaltando que pueden ir armados y son peligrosos; hasta ese momento, el único servicio ruso que tenía el privilegio de contar con agentes entre los más buscados por el FBI era el FSB.
La inteligencia estadounidense había señalado públicamente a sus homólogos rusos de injerencias en el proceso electoral de 2016 ([2]), incluso ligando al GRU a los ataques directos y a la publicación de la información exfiltrada. No obstante, en el documento del DoJ se entra al detalle y se señala a dos unidades del GRU -la 26165 y la 74455- como responsables directas de las actividades en el ámbito ciber dirigidas a la interferencia en dichas elecciones, marcando a la unidad 26165 como la operativa directa (ataques contra actores relevantes, por ejemplo vía spear phishing, robo de documentos, etc.) y a la unidad 74455 como actor significativo en las operaciones de desinformación asociadas, como la diseminación de documentos o correos electrónicos o el manejo del sockpuppet Guccifer 2.0. Los acusados por el DoJ son doce oficiales de inteligencia rusos, nueve pertenecientes a la unidad 26165 y tres pertenecientes a la unidad 74455, según se resume en la siguiente tabla:
Unidad | Nombre | Empleo | Cargo | Aliases | Acusaciones |
26165 | Viktor BORISOVICH NETYKSHO | Coronel | Jefe de Unidad | Intrusión en DCCC y DNC | |
26165 | Boris ALEKSEYEVICH ANTONOV | Comandante | Jefe de Departamento | Intrusión | |
26165 | Dmitriy SERGEYEVICH BADIN | Ayudante Jefe de Departamento | |||
26165 | Ivan SERGEYEVICH YERMAKOV |
Kate S. Milton James McMorgans Karen W. Millen |
|||
26165 | Aleksey VIKTOROVICH LUKASHEV | Teniente |
Den Katenberg Yuliana Martynova |
||
26165 | Sergey ALEKSANDROVICH MORGACHEV | Teniente Coronel | Jefe de Departamento | Desarrollo de malware | |
26165 | Nikolay YURYEVICH KOZACHEK | Capitán |
Kazak blablabla1234565 |
Desarrollo de malware | |
26165 | Pavel VYACHESLAVOVICH YERSHOV | Apoyo al desarrollo de malware | |||
26165 | Artem ANDREYEVICH MALYSHEV | Teniente |
djangomagicdev realblatr |
Operación del malware | |
74455 | Aleksandr VLADIMIROVICH OSADCHUK | Coronel | Jefe de Unidad | Publicación de información robada | |
74455 | Aleksey ALEKSANDROVICH POTEMKIN | Jefe de Departamento | Gestión de infraestructura e identidades | ||
74455 | Anatoliy SERGEYEVICH KOVALEV |
Se identifica con detalle al personal de la unidad 26165, localizada en el número 20 de Komsomolskiy Prospekt, y de la unidad 74455, localizada en el número 22 de la calle Kirova, en el barrio de Khimki, en ambos casos en Moscú; también se dan detalles de cada una de estas unidades: están mandadas por un Coronel, cuentan con diferentes departamentos con tareas específicas (desarrollo de malware, operación de los zombies…) El documento de acusación del DoJ describe también las TTP de los atacantes con un nivel de detalle asombroso, así como fechas de acciones tan concretas como el implante de X-Agent en una víctima o el nombre de la persona que ejecuta dicha acción, en el marco de en operaciones del GRU contra el DCCC (Democratic Congressional Campaign Committee, Comité de Campaña Demócrata del Congreso) y el DNC (Democratic National Committee, Comité Nacional Demócrata). Igualmente, analiza con el mismo nivel de detalle los esfuerzos del actor hostil para persistir en la víctima o el manejo de la información robada y su difusión a través del entramado DCLeaks (sockpuppet, sitio web, redes sociales…) y Guccifer 2.0., así como la relación entre ambos.
Tal y como hemos dicho, en todo momento, tanto en el ámbito técnico de la intrusión y persistencia como en el ámbito menos técnico del uso de la información robada, el nivel de detalle proporcionado por el DoJ es impresionante; sin entrar en si este nivel es habitual en las acusaciones del DoJ relativas a Seguridad Nacional -no tengo criterio-, desde luego desde un punto de vista de inteligencia dar tanta información del conocimiento sobre un adversario ni es habitual ni es bueno… También se dan, especialmente en octubre como veremos más adelante, niveles de detalle no habituales en fuentes públicas sobre tácticas, técnicas, identidades… de los agentes del GRU y de sus operaciones; veremos, al final del trabajo, algunas preguntas que nos hacemos en relación al por qué de este nivel de detalle -y sus posibles respuestas-.
Referencias
[1] DoJ. Julio 2018. https://www.justice.gov/file/1080281/download
[2] ODNI. Assessing Russian Activities and Intentions in Recent US Elections. Enero, 2017.