Las autoridades de ciberseguridad ucranianas han revelado que el actor de amenazas patrocinado por el estado ruso conocido como Sandworm estuvo dentro de los sistemas del operador de telecomunicaciones Kyivstar al menos desde mayo de 2023.
La noticia fue reportada por primera vez por Reuters.
El incidente, descrito como un «poderoso ataque de hackers», salió a la luz el mes pasado, bloqueando el acceso a servicios móviles e internet para millones de clientes. Poco después del incidente, un grupo de hackers vinculado a Rusia llamado Solntsepyok se responsabilizó de la brecha.
Se ha evaluado que Solntsepyok es un grupo de amenazas ruso con afiliaciones a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU), que también opera Sandworm.
El actor de amenazas persistente avanzada (APT) tiene un historial de orquestar ataques cibernéticos disruptivos, y Dinamarca acusó el año pasado al grupo de hackers de apuntar a 22 compañías del sector energético.
Illia Vitiuk, jefe del departamento de ciberseguridad del Servicio de Seguridad de Ucrania (SBU), dijo que el ataque contra Kyivstar borró prácticamente todo en miles de servidores virtuales y computadoras.
El incidente, dijo, «destruyó por completo el núcleo de un operador de telecomunicaciones», y señaló que los atacantes tuvieron acceso total probablemente al menos desde noviembre, meses después de obtener una posición inicial en la infraestructura de la empresa.
“El ataque fue cuidadosamente preparado durante muchos meses”, dijo Vitiuk en un comunicado compartido en el sitio web del SBU.
Kyivstar, que desde entonces ha restablecido sus operaciones, dijo que no hay evidencia de que se haya comprometido los datos personales de los abonados. Actualmente no se sabe cómo el actor de amenazas penetró en su red.
Cabe señalar que la empresa había descartado previamente las especulaciones sobre los atacantes que destruían sus computadoras y servidores como «falsas».
La noticia surge cuando el SBU reveló a principios de esta semana que derribó dos cámaras de vigilancia en línea que presuntamente fueron hackeadas por agencias de inteligencia rusas para espiar a las fuerzas de defensa e infraestructura críticas en la ciudad capital de Kyiv.
La agencia dijo que el compromiso permitió al adversario obtener el control remoto de las cámaras, ajustar sus ángulos de visión y conectarlas a YouTube para capturar «toda la información visual en el rango de la cámara».
