GRU: unidad militar 54777

27 de enero de 2025 Por Leave a Comment

Las principales unidades del GRU ruso activas en operaciones en el ciberespacio han sido tratadas en este blog: desde nuestros antiguos posts (¡de 2018!) sobre la unidad 26165 y la unidad 74455 hasta la reciente aparición (en el ciberespacio) de la unidad 29155. Todas estas unidades tienen algo en común, aparte de su capacidad para operar en el ciberespacio: todas tienen un nombre de grupo APT. La unidad 26165 se identifica con APT28, mientras que la unidad 74455 es conocida como Sandworm Team y la unidad 29155 como Ember Bear (nótese el caos en la nomenclatura de grupos APT al que ya hemos hecho referencia en este blog). Sin embargo, no todas las unidades del GRU que operan en el ciberespacio tienen el honor de tener un grupo APT asignado. En este post hablamos de la unidad 54777, una unidad militar del GRU involucrada en operaciones psicológicas (PSYOP), también a través del ciberespacio pero que, por ahora, no tiene un nombre de grupo APT asociado.

La Unión Soviética, y ahora Rusia, tiene una larga trayectoria en el ámbito de la desinformación y la guerra psicológica. De hecho, el objetivo de la “confrontación de información” es influenciar la percepción y el comportamiento del enemigo, de la población y de la comunidad internacional. La guerra psicológica se ha utilizado desde los orígenes de la inteligencia soviética, por parte del fundador de la Cheka, Felix DZERZHINSKI, hasta el conflicto actual con Ucrania. Para destacar la importancia de la guerra psicológica en la Rusia moderna, sólo un detalle: Aleksandr Gennadyevich STARUNSKY, antiguo responsable de la unidad militar 54777 de la que vamos a hablar aquí, fue ascendido por el propio Vladimir PUTIN al comité científico, bajo el Consejo de Seguridad de la Federación Rusa.

El GRU soviético, y el Ejército Rojo en su conjunto, consideraban la propaganda especial como parte de sus medidas activas. A pesar de que esta propaganda iba supuestamente dirigida a influenciar a las tropas enemigas, el régimen soviético la utilizó para subir la moral a sus propias tropas. Cuando la Unión Soviética se desmoronó, la Dirección de Propaganda Especial, responsable de las operaciones psicológicas militares, fue transferida al GRU, y unos años después, en 1994, se estableció como la unidad militar 54777. Esta transferencia no fue un asunto puramente burocrático: hizo las operaciones psicológicas rusas más agresivas de lo que eran en la época soviética. Mientras que en tiempos soviéticos las unidades de propaganda especial operaban exclusivamente durante las campañas militares, al menos teóricamente, con la transferencia al GRU estas operaciones comenzaron a ejecutarse tanto en tiempos de guerra como en tiempos de paz.

La unidad militar 54777 (VCh 54777, 72nd Special Service Center, 72nd Main Intelligence Information Center -GRITs- o Foreign Information and Communications Service), es todavía la responsable de las operaciones psicológicas del GRU. En la página web de Agentura, y en los conocidos como Aquarium Leaks, podemos encontrar una descripción detallada de esta unidad, junto a los históricos esfuerzos soviéticos, y actuales rusos, en el ámbito de la propaganda y la guerra psicológica.

Entre sus operaciones más destacadas, la unidad 54777 ha estado involucrada en campañas de desinformación acerca de la anexión rusa de Crimea en 2014, de la guerra civil en Siria y del conflicto en Ucrania. En tiempos de paz, esta unidad ha estado involucrada en operaciones contra elecciones en Europa y Estados Unidos, así como en campañas de desinformación acerca de la pandemia de COVID-19.

Además de PSYOP “tradicional”, la unidad 54777 incluye tanto capacidades SIGINT como capacidades en el ciberespacio. En el ámbito de la inteligencia de señales, esta unidad obtiene y analiza comunicaciones para generar inteligencia que pueda ser posteriormente utilizada en campañas de desinformación e influencia. En el ciberespacio, la unidad 54777 trabaja complementando las operaciones en el ciberespacio no sólo con PSYOP digitales: sus actividades incluyen operaciones de apoyo a unidades “ciber” del GRU, creación y diseminación de versiones falsas de sus propias operaciones en el ciberespacio, así como guerra electrónica y operaciones psicológicas en el nivel táctico.

La unidad 54777 lleva a cabo la mayor parte de sus operaciones en el ciberespacio a través de redes sociales, una actividad que comenzó con la revolución del Maidan. Además de redes sociales, esta unidad disemina desinformación y manipula a la opinión pública a través de plataformas digitales y foros públicos. Utiliza diferentes organizaciones pantalla, incluyendo InfoRos y el Instituto de la Diáspora Rusa, fundados por Aleksandr Gennadyevich STARUNSKY (a quien ya hemos hecho referencia). Estas organizaciones son “agencias de información” focalizadas en la vida política, económica y social de la Federación Rusa y otras ex Repúblicas Soviéticas, generando contenido tanto en ruso como en inglés.

Probablemente, la unidad 54777 está localizada en la 12ª Dirección del GRU, focalizada en operaciones de información. Supuestamente esta unidad está dirigida por la unidad 55111, que trataremos en otro post. De hecho, Aleksandr Gennadyevich STARUNSKY, antiguo mando de la unidad 54777, era el comandante adjunto de la unidad 55111 cuando fue ascendido al comité científico del Consejo de Seguridad. Según fuentes abiertas, la unidad 54777 tiene, o ha tenido, diferentes unidades encargadas de las operaciones psicológicas en cada distrito militar ruso, además del de Moscú:

  • Distrito militar de Leningrado: unidad militar 03126, localizada en la region de Leningrado.
  • Distrito militar central: unidad militar 03138, localizada en Yekaterinburgo.
  • Distrito militar sur: unidad militar 03128, localizada en Rostov del Don.
  • Distrito militar este: unidad militar 03134, localizada en Jabárovsk.

Una característica de todas estas unidades es su emblema: una combinación del símbolo internacional de la psicología, Ψ (“Psi”), y un clavel rojo, símbolo heráldico de la inteligencia militar rusa, tal y como muestra la imagen (de la web de Agentura):

GRU: unidad militar 29155

10 de octubre de 2024 Por Leave a Comment

Históricamente, la unidad militar 29155 del GRU ruso (VCh 29155, 161st Specialist Training Center) ha estado involucrada en medidas activas como subversión, asesinatos o sabotaje. Recordemos que las medidas activas soviéticas o rusas hacen referencia a operaciones encubiertas con el objetivo de influenciar la política o la opinión pública de terceros países. Estas medidas incluyen desde actividades en el ciberespacio hasta “wet stuff” (una mala traducción sería “cosas que manchan las manos”: asesinatos, chantajes, sabotajes…). Entre otras operaciones famosas de esta unidad destacan el sabotaje de un depósito de armas en República Checa (2014), un golpe de estado en Montenegro (2016) o el intento de envenenamiento de los Skripal en Salisbury (2018).

A pesar de que la unidad 29155 era conocida por los analistas, su existencia saltó a medios generalistas cuando se acusó a esta unidad de ser la causante del “Síndrome de la Habana”. Este síndrome se identificó entre diplomáticos y personal de inteligencia estadounidense y canadiense destinado en Cuba, en 2016, y sus síntomas se replicaron en otras partes del mundo. Estos síntomas incluyen problemas visuales, vértigo o dificultades cognitivas que se manifiestan, según los afectados, tras haber escuchado sonidos extraños. Desde que se descubrió el síndrome de La Habana, su origen ha sido controvertido. Diferentes estudios lo han asociado a actividades de la inteligencia rusa relacionadas con armamento de nueva generación, desde armas acústicas a energía dirigida.

[Read more…]

Feliz Navidad

27 de diciembre de 2023 Por

Desde Security Art Work queremos desearos unas felices fiestas y lo mejor para este 2024 que está a punto de comenzar. Y en estos tiempos de postales generadas por inteligencia artificial, jerseys tipificados en el Código Penal y comida y bebida por encima de nuestras posibilidades, os enviamos nuestra felicitación navideña. Gracias a las herramientas de los dioses, sencilla y ligera, para que no se os llene el disco duro, ni el de vuestro ordenador ni el del ordenador de otras personas.

begin 644 saw23.awk
M0D5'24X@>PIS<F%N9"@I.PIR97-E=#TB7#`S,ULP;2(["F@],C`[<SUH+3$[
M;#TQ.PIF;W(@*&H@/2`Q.R!J(#P]<SL@:BLK*2!P<FEN=&8H(B`B*3L*<')I
M;G1F*")<,#,S6S$[.31M(BD[(`IP<FEN=&8H(D!<;B(I.PIF;W(@*&D],3MI
M/#UH.VDK*RD@>PH)9F]R*&H],3MJ/#US.VHK*RD@<')I;G1F*"(@(BD["B`@
M("`@("`@<RTM.PH@("`@("`@(&9O<BAJ/3$[:CP];#MJ*RLI('L*("`@("`@
M("`)<')I;G1F*")<,#,S6S$[.3)M(BD["@D)83UI;G0H,3`J<F%N9"@I*3L*
M"0EI9BAA(3TS*7!R:6YT9BAA*3L*"0EE;'-E>PH)"0EP<FEN=&8H(EPP,S-;
M-3LS-&TB*3L@"@D)"7!R:6YT9B@B*B(I.PH)"0EP<FEN=&8H<F5S970I.PH)
M"7T*("`@("`@("!]"B`@("`@("`@;"L],CL*("`@("`@("!P<FEN=&8H<F5S
M970I.PH@("`@("`@('!R:6YT9B@B7&XB*3L*"7T*='<]:"\R.PIT:#UH+S0[
M"G1S/6@M='<O,CL*9F]R("AI/3$[:3P]=&@[:2LK*2!["@EF;W(H:CTQ.VH\
M/71S.VHK*RD@<')I;G1F*"(@(BD["B`@("`@("`@<')I;G1F*")<,#,S6S$[
M,S%M(BD["B`@("`@("`)9F]R("AJ/3$[:CP]='<[:BLK*2!P<FEN=&8H:6YT
M*#$P*G)A;F0H*2DI.PH@("`@("`@('!R:6YT9BAR97-E="D["B`@("`@("`)
M<')I;G1F*")<;B(I.PI]"G!R:6YT9B@B7#`S,ULQ.SDT;2(I.PIP<FEN=&8H
M(D1E<V1E(%-E8W5R:71Y($%R="!7;W)K(&]S(&1E<V5A;6]S($9E;&EZ($YA
M=FED860@>2!P<L.S<W!E<F\@,C`R-%QN(BD["G!R:6YT9BAR97-E="D["GT*
`
end

Por cierto, si sabes abrir el sobre y visualizar la felicitación sin ayuda de Google (o de ChatGPT) eres población de riesgo. Feliz Navidad y cuidado con los excesos de estos días :)

Operaciones de proximidad en el ciberespacio

24 de octubre de 2023 Por

En el ámbito de las operaciones en el ciberespacio, la mayor parte de operaciones de ataque o explotación son remotas, es decir, se realizan a través de tecnologías que permiten al actor hostil no estar físicamente cerca de su objetivo: un acceso vía VPN, un correo electrónico o enlace dañino que instala un implante en la víctima, una vulnerabilidad remota explotada exitosamente, etc. Pero un pequeño porcentaje de operaciones requieren un acercamiento físico entre el actor hostil y su objetivo: son las operaciones de proximidad, llamadas también Sneaker Operations o CACO (Close Access Cyberspace Operations).

Crypto AG CX-52. Fuente: WikiPedia.

Cuando no todo estaba conectado a Internet, las operaciones de proximidad eran casi la única vía de acceso a los sistemas o la información del objetivo; para robar información había que colocar un micro o una cámara colándose por la noche en un edificio, modificando una cadena de suministro o situándose en un edificio enfrente de las instalaciones del objetivo, por poner unos ejemplos. Algunas de las acciones de adquisición de inteligencia de señales requerían esta proximidad, y esta proximidad evidentemente implicaba un riesgo significativo de ser neutralizado, con todas las implicaciones que esta neutralización puede tener. Algunos ejemplos muy conocidos de operaciones de proximidad para adquisición de inteligencia de señales implican (presuntamente) a la DGSE francesa implantando micros en los asientos business de los vuelos de Air France entre París y Nueva York, a los soviéticos (presuntamente) regalando un Gran Sello con un implante al embajador estadounidense en la URSS o a alemanes y estadounidenses (presuntamente) manipulando dispositivos de cifra de Crypto AG en la operación Rubicon.

[Read more…]

De la inteligencia a la detección de amenazas

2 de agosto de 2023 Por

La detección de las amenazas se realiza en buena parte a partir de indicadores de compromiso. Estos indicadores son observables que identificamos en la gestión de un incidente o en una investigación, que nos llegan de terceros en forma de feeds de inteligencia, que descargamos de plataformas como MISP, que compartimos entre grupos de trabajo… En definitiva, los descubrimos o nos los descubren. Pero ¿de dónde vienen estos indicadores? De una u otra forma los indicadores, parte fundamental para la caracterización de una amenaza (actor, operación…) provienen del análisis de inteligencia. En este post vamos a comentar el camino desde la adquisición de información hasta la generación de indicadores de compromiso para la detección de una amenaza. Este camino se resume en la figura siguiente:

Todos sabemos que las diferentes disciplinas de adquisición de inteligencia juegan un papel fundamental en la detección de amenazas en el ciberespacio. En este ámbito ciber cada una de estas disciplinas (simplificando, SIGINT, MASINT, HUMINT, OSINT y GEOINT) tiene un peso específico y aporta un valor determinado, conformando la base de lo que llamamos ciber inteligencia. Por ejemplo, el rol de la inteligencia de señales tiene habitualmente mucho más peso que el de la inteligencia geoespacial, y las fuentes humanas aportan mucha menos inteligencia que las señales, pero bien manejadas, de mucho más valor.

[Read more…]

ATT&CK reconnaissance: críticas constructivas

9 de marzo de 2022 Por

Sin duda, MITRE ATT&CK se ha convertido en el marco de trabajo de referencia para la estructuración (y análisis, y detección…) de tácticas y técnicas ligadas a operaciones ofensivas. Este estándar de facto constituye un esfuerzo enorme que sirve de gran ayuda para todos los que trabajamos en seguridad, pero también tiene muchas opciones de mejora, al ser un trabajo en curso y permanente actualización. Algunas de las críticas a MITRE ATT&CK pasan por la estructura plana de técnicas asociadas a cada táctica, sin ningún tipo de estructura que facilite su análisis.

En particular, en el caso de la táctica Reconocimiento, en la que un actor hostil trata de obtener información sobre su objetivo a través de diferentes medios, MITRE ATT&CK proporciona igualmente una estructura plana para las técnicas, como en el resto de tácticas, pero en este caso mezcla conceptos que pueden inducir a error y que no constituirían técnicas en sí mismas. Veamos: MITRE ATT&CK define las siguientes técnicas para la táctica “Reconnaissance” (no detallamos al nivel de sub técnica):

IDTechnique
T1595Active Scanning
T1592Gather Victim Host Information
T1589Gather Victim Identity Information
T1590Gather Victim Network Information
T1591Gather Victim Org Information
T1598Phishing for Information
T1597Search Closed Sources
T1596Search Open Technical Databases
T1593Search Open Websites/Domains
T1594Search Victim-Owned Websites
[Read more…]

Explotando datos de APT for fun and (no) profit (IV): conclusiones

4 de diciembre de 2020 Por
Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Hemos obtenido algunos datos para soltar frases en las charlas de APT (por favor, no olvidéis usarlos junto a las frases de “El Arte de la Guerra”, de Sun Tzu, que nunca pasa de moda, y comentar lo del eslabón más débil de la cadena y demás :). Con algo de tiempo, podemos obtener conclusiones más o menos interesantes, o más o menos estúpidas, en relación a las actividades, intereses, orígenes… de los grupos APT. Y explotando otros datasets (¿vamos a por MITRE ATT&CK?) podemos ampliar o complementar estas conclusiones.

Algunos de los datos que podemos concluir después de este pequeño análisis:

  • Parece claro que Rusia juega en la Liga de Campeones de las APT; es el país líder en todo tipo de actividades hostiles, desde el sabotaje hasta el espionaje o la delincuencia económica.
  • El líder de todos los grupos APT es también ruso: Turla, operando desde hace casi un cuarto de siglo (y en este caso sí que podemos confirmar que sigue vivo) y con un abanico de objetivos impresionante.
  • El grupo al que los analistas prestan más atención es también ruso: APT28, el más investigado y, casi por este motivo, el que más nombres diferentes tiene.
  • El número de actores con capacidades CNA se está incrementando en los últimos años, de nuevo con Rusia a la cabeza.
  • Aparte de los actores habituales, dos países han estado particularmente activos durante los últimos años: Irán y Corea del Norte.
  • Sería interesante identificar un nuevo parámetro para cada actor, similar a “visto por última vez”, que nos permita saber cuánto tiempo un grupo ha estado activo, o si lo está en estos momentos.
  • Usar diferentes nombres, en función de quién lo llama, para el mismo grupo es un caos a la hora de procesar datos; en este sentido, el esfuerzo de MISP para identificar un UUID por grupo es de agradecer (https://github.com/MISP/misp-galaxy/blob/main/clusters/threat-actor.json#L2434),  como bien nos ha indicado @adulau en Twitter.
  • Con algo de imaginación y gnuplot puedes tener tu propio Magic Quadrant de APT :)
  • Importante: esto es un simple post, no un artículo científico. No esperes verdades absolutas, no discutibles y que sienten cátedra aquí.
  • Y la última conclusión: AWK es nuestro amigo. Recordad:

Explotando datos de APT for fun and (no) profit (III): análisis (no tan) simple

3 de diciembre de 2020 Por
Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Una vez que hemos respondido a algunas preguntas tontas o simplemente sencillas, es el momento de plantearnos algunas más complejas, así que empecemos…

¿Los actores con capacidades CNA están incrementando sus actividades en los últimos años?

En las preguntas simples hemos identificado que el sabotaje o la destrucción no son las motivaciones más habituales en los actores de la amenaza. Pero estamos interesados en ellos, por lo que veamos sus actividades en el tiempo:

for i in `grep "Sabotage and destruction" [0-9]*.txt|awk -F: '{print $1}'`; do grep \"meta\",\"date\"\] $i|awk '{print $2}'|sed 's/\"//g';done|awk '{a[$0]++}END{for(k in a){print k,a[k]}}’ >years.cna

Dibujando los resultados, tenemos:

gnuplot> set boxwidth 0.5

gnuplot> set xtics 1

gnuplot> set ytics 1

gnuplot> set yrange [0:5]

gnuplot> plot 'years.cna' with boxes

Desde 2012, el número de actores con capacidades CNA -o al menos su salto a la fama- se ha incrementado de forma considerable: de 14 grupos totales, 9 han arrancado sus actividades en los últimos ocho años, por lo que podríamos decir que es una tendencia al alza. Por curiosidad, el actor más antiguo con capacidades CNA empezó en 2001. ¿Adivinamos su nombre? Efectivamente, Equation Group… 

[Read more…]

Explotando datos de APT for fun and (no) profit (II): análisis simple

2 de diciembre de 2020 Por
Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Con la información ya procesada y lista podemos empezar el análisis por la parte mas sencilla: las preguntas tontas y las preguntas simples que en muchas ocasiones nos planteamos. Allá vamos.

¿Cuáles son los grupos con más sinónimos?

La pregunta más tonta que siempre me he planteado es por qué usamos tantos nombres diferentes para el mismo actor. ¿Quién tiene el privilegio de ser el grupo con más nombres? Veamos:

$ for i in [0-9]*.txt; do c=`grep synonyms\", $i|grep -vi operation|wc -l `; echo $c $i;done |sort -n|tail -1

18 233.txt

$

El resultado es “233.txt”, que corresponde a APT 28, con 18 sinónimos; el segundo clasificado, con 16 nombres diferentes, es Turla. Casualmente, ambos de Rusia (veremos luego algunas curiosidades de Rusia).

Aparte de esto, una opinión personal: ¡18 nombres para el mismo grupo! Definitivamente, y una vez más, necesitamos un estándar para los nombres de actores hostiles. Esta puede ser tu primera frase cuando des una charla de APT: donde está un comité ISO cuando se le necesita?

¿Qué grupos son de mi país?

Aparte de los actores que todos tenemos en mente (Rusia, China…), ¿tenemos grupos españoles? ¿Tenemos grupos de otros países relevantes? El código ISO 3166-1 para España es ES, por lo que podemos buscar actores españoles -y de otros países- con una orden simple:

[Read more…]

Explotando datos de APT for fun and (no) profit (I): adquisición y procesamiento

1 de diciembre de 2020 Por
Entradas de la serie “Explotando datos de APT for fun and (no) profit”:
=> I: adquisición y procesamiento
=> II: análisis simple
=> III: análisis no tan simple
=> IV: conclusiones

Cuando asistimos a charlas relacionadas con APT -o las damos-, a veces oímos frases como “la mayor parte de los actores se focalizan en robo de información” o “Rusia es uno de los actores más activos en el panorama”. Pero, ¿de dónde vienen estas frases? Hemos pasado una noche entera explotando datos relativos a APT por diversión (y for (no) profit) para proporcionar curiosidades, hechos, datos… que puedes usar desde ya mismo en tus charlas! :)

Desde 2019 el equipo de ThaiCERT publica en PDF “Threat Group Cards: A Threat Actor Encyclopedia” y proporcionan un portal de acceso libre (https://apt.thaicert.or.th/cgi-bin/aptgroups.cgi) con toda la información relativa a estos grupos, obtenida de fuentes abiertas. En este portal, además de navegar por los diferentes grupos y sus herramientas, se presentan estadísticas acerca de sus actividades (países origen, objetivos, herramientas más usadas…), y la mayor parte de estos grupos son considerados APT (en estos momentos, 250 de 329, con la versión de base de datos actualizada a fecha 20 de octubre de 2020). Pero, ¿y si necesitamos estadísticas o correlaciones específicas que no están en la página web?

[Read more…]