Hoy toca un artículo doctrinal y algo metafísico…. Vamos, algo denso. Avisados estáis :)

Dentro las operaciones CNO (Computer Network Operations) encontramos tres tipos de capacidades o acciones: CND, CNA y CNE (Defensa, Ataque y Explotación respectivamente); mientras que CND trata obviamente de la defensa de entornos tecnológicos frente a ataques también tecnológicos -no contra un misil que impacta en un CPD-, las operaciones y capacidades CNE se focalizan en la adquisición y explotación de información a través de redes y ordenadores: lo que actualmente estamos denominando ciberespionaje. Por su parte, CNA, Computer Network Attack, hace referencia a lo que en muchas ocasiones se identifica con las operaciones puramente destructivas (las famosas “4D”: disrupt, deny, degrade and destroy).

[Read more…]

Hemos analizado en este trabajo principalmente la estructura, objetivos y TTP del GRU en el ámbito ciber, a partir de la información que durante 2018 ha visto la luz y que ha permitido obtener un conocimiento detallado del Servicio y sus actividades no sólo a servicios de inteligencia, sino también a pobres analistas como nosotros que no disponen de todas las capacidades de las que puede disponer un estado; con lo que sabemos, incluso analizando fuentes públicas, tenemos acceso a información que en algunos casos debe considerarse sensible y que sin duda está siendo -o ha sido- analizada por servicios de todo el mundo, empezando por la propia Rusia.

[Read more…]

Todo lo sucedido en 2018 en relación al GRU, tanto las acusaciones públicas de diferentes gobiernos como las investigaciones privadas en relación a sus actividades, nos hacen plantearnos diferentes preguntas; seguramente todas ellas tengan respuesta, pero no la conocemos, o al menos no a ciencia cierta… por eso, también podemos hablar de conspiraciones a la hora de responder a estas cuestiones. Vamos a verlas en este apartado.

¿Cómo se ha obtenido esta información?

No lo sabemos. Desde luego, de fuentes públicas no: seguramente estamos hablando de información obtenida de fuentes humanas, por ejemplo, por un posible topo en el Servicio… o en otro servicio que conozca bien al GRU.

Algunos analistas relacionan con las informaciones que han visto la luz este año la detención, en diciembre de 2016, entre otros de Sergei MIKHAILOV (Coronel del FSB, Director del Segundo Departamento del ISC), Dmitry DOKUCHAEV (Comandante del FSB, adscrito al mismo departamento que MIKHAILOV y buscado además por el FBI) y Ruslan STOYANOV (analista de Kaspersky, pero anteriormente ligado al FSB). Acusados todos ellos de alta traición a la patria y que podrían haber vendido información sensible a la inteligencia estadounidense. ¿Podrían haber traicionado estas personas al FSB, y por extensión al GRU, facilitando datos de operaciones, agentes, técnicas… usadas por el Servicio contra intereses extranjeros? ¿Podría tener un topo aún activo alguno de los servicios rusos que venda esta información a otros servicios de inteligencia? Quién lo sabe…

[Read more…]

Los miembros del GRU expulsados de Holanda aplicaban medidas básicas de OPSEC, como llevarse ellos mismos la basura de la habitación del hotel; no obstante su detención ha puesto de manifiesto la falta de otras medidas de seguridad, igualmente básicas, que sin duda habrán dado mucho que hablar en el Servicio. Quizás las operaciones de proximidad -en Holanda al menos- no eran consideradas como de riesgo por el GRU, quizás son fallos humanos por incumplimiento de normativa… quién sabe. El hecho cierto es que esta OPSEC pobre ha sacado a la luz información sobre identidades, objetivos, TTP… del Servicio que nos han permitido conocerlo un poco mejor durante 2018 y que, de haber actuado de otra forma, estas evidencias no lo serían tanto.

Cuando hablamos de OPSEC, más allá de modelos y metodologías formales, hablamos siempre de las tres C [1]: cover, concealment, compartmentation. La cobertura de una operación debe permitir justificar dónde estás (estado) y qué estás haciendo (acción), la ocultación debe permitir ocultar actividades o identidades relacionadas con la operación y, por último, la compartimentación, como línea de defensa final, debe minimizar el impacto en caso de que las cosas vayan mal, no afectando a otras personas, operaciones, etc. [Read more…]

Las informaciones que han salido a la luz en los últimos meses, en especial la acusación de Mueller, han identificado diferentes tácticas y técnicas del GRU, algunas de ellas conocidas previamente -y en muchos casos ligadas a APT28- y otras que, aunque todos nos podíamos imaginar, nadie había confirmado con anterioridad. Se muestran resumidas en la siguiente tabla dichas TTP, basadas en una adaptación de las tácticas y técnicas que publica MITRE en su framework ATT&CK:

[Read more…]

Aparte de algunos objetivos más concretos, como la compañía Westinghouse Electric Company’s -con negocios en tecnología nuclear- o routers domésticos que puedan ser comprometidos para orquestar un ataque distribuido contra el objetivo real, la información publicada en 2018 ha sacado a la luz cinco grandes objetivos del GRU, consistentes con los intereses del Servicio y por consiguiente con los de la Federación Rusa; son los expuestos en este punto.

Llama la atención que en la mayor parte de estos objetivos -salvo quizás Ucrania y sus infraestructuras- el GRU tiene, siempre presuntamente, un interés relacionado más con la confrontación de información psicológica a la que hemos hecho referencia que con un ataque puramente técnico; dicho de otra forma, es poco probable que el GRU ataque a objetivos como los investigadores del uso de Novichok o del derribo del MH17, que veremos a continuación, con la intención de alterar tecnológicamente los resultados de estas investigaciones… es más probable que el objetivo real fuera obtener información por un lado para conocer de primera mano el estado en cada momento y por otro, igualmente importante, para poder obtener datos que permitiera al Servicio el inicio de campañas de desinformación contra estos organismos investigadores, de manera que de cara a la sociedad perdieran credibilidad en sus afirmaciones, beneficiando así los intereses de la Federación Rusa. [Read more…]

Además de las dos unidades anteriores, que han cobrado protagonismo a partir de la información sacada a la luz en 2018, el GRU cuenta con otras Unidades Militares ligadas a inteligencia de señales, ciberseguridad o guerra de información; algunas de las que podemos encontrar datos en fuentes públicas son las siguientes:

• Unidad Militar 11135 (18th Central Research Institute). Históricamente ([1]) se ha identificado dentro del GRU al Central Scientific Research Institute, que desde Moscú diseña equipamiento SIGINT para el GRU y que quizás en la actualidad sea esta Unidad Militar, focalizada hoy en día no sólo en interceptación de comunicaciones de radio y satélite sino también en dispositivos inalámbricos, sistemas SCADA o protección de las comunicaciones ([2]).
• Unidad Militar 40904, conocida como el “177º Centro Independiente para la Gestión del Desarrollo Tecnológico”. Ubicada en Meshcheryakova, 2 (Moscú), con alta probabilidad, esta unidad se especializa en el procesamiento de inteligencia de señales ([3]).
• Unidad Militar 36360. Aparentemente es una unidad formativa del GRU en la que se imparten, al menos desde enero de 1949, cursos avanzados de inteligencia. Esta formación, también aparentemente y según fuentes abiertas, incluye temas muy ligados al ámbito ciber como los siguientes:
  • Ingeniería de Telecomunicaciones (comunicación por radio, radiodifusión y televisión).
  • Tecnologías, redes y sistemas de comunicación.
  • Sistemas y tecnologías de información: información y análisis.
  • Ingeniería de software.
  • Matemáticas aplicadas y ciencias de la computación.
  • Seguridad de la información.
  • Software informático.
  • Sistemas automatizados de procesamiento y control de información.
  • Traducción y estudios de traducción (lingüística).
• Unidad Militar 54726 (46th Central Research Institute), centro focalizado en información técnica militar, en especial sobre las capacidades de países extranjeros, que potencialmente incluye investigación en el ámbito ciber.

[Read more…]

Aparentemente la Unidad 74455 está ligada a operaciones de desinformación, influencia, propaganda… lo que volvería a confirmar el amplio concepto de information warfare de la doctrina militar rusa, al que ya hemos hecho referencia en repetidas ocasiones y la mezcla del ámbito puramente técnico con el ámbito psicológico (dezinformatsiya, spetspropaganda, kompromat…). De hecho, la DIA estadounidense habla de la confrontación de información rusa (informatsionnoye protivoborstvo, IPb) como el término usado por el gobierno para el conflicto de la guerra de información, con dos grandes medidas: técnica, como una CNO clásica, y psicológica, como el intento de manipular a la población a favor de los intereses rusos ([1]), hablando abiertamente de PSYOP “ciber”; la primera de estas medidas correspondería a la Unidad 26165 y la segunda a la Unidad 74455.

Existe muy poca información disponible en fuentes abiertas en relación a la Unidad 74455; su relación con el ámbito tecnológico puede confirmarse con algunas referencias científicas (artículos y libros). Por ejemplo, en la revista “Sistemas de control y medición de información”, aparece el nombre de E.E. Nazarov, como científico y empleado de la Unidad Militar 74455; esta identidad ha participado en dos artículos: “Algoritmo para generar interferencia tipo basada en la evaluación rápida de parámetros de señal” y “Métodos para estimar los errores en la determinación de las coordenadas del portador de radar aerotransportado por un sistema RTR distribuido espacialmente”. [Read more…]