Google desarticuló al grupo que habría vulnerado los correos electrónicos del ICE en Costa Rica
Un grupo de ciberespionaje identificado como UNC2814, con presuntos vínculos en China y que Google desarticuló luego de detectar que hackeó redes en 42 países, estaría detrás de la vulneración de correos electrónicos en el Instituto Costarricense de Electricidad (ICE).
Si bien Paula Bogantes, ministra de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt); y Marco Acuña Mora, presidente del ICE, no mencionaron el nombre del grupo que perpetró el ataque, lo cierto es que el gobierno sí reconoció que se basaron en un informe de Google para presentar la denuncia ante el Ministerio Público.
Además, sí detallaron que se trataba de un grupo con supuestos vínculos en China, que hackeó redes en 42 países y que usaba Google Sheets para acceder a la información. El mismo modus operandi de UNC2814.
En el caso del ICE, los hackers accedieron a un universo de aproximadamente nueve GB de correos electrónicos de funcionarios.
Acuña precisó que, de momento, se desconoce si la extracción incluyó información de los clientes de la institución, ya que el proceso de revisión sigue en curso.
Mientras, Bogantes contó que el Micitt fue alertado sobre la amenaza desde febrero pasado y que el propio ICE había detectado actividad sospechosa antes de ese aviso.
Ante ese panorama, el Micitt estableció contacto con el gobierno de Estados Unidos, en aras de coordinar acciones para atender el incidente.
Una puerta trasera disfrazada de tráfico legítimo
La amenaza sobre UNC2814 fue divulgada públicamente el 25 de febrero anterior por el Grupo de Inteligencia de Amenazas de Google (GTIG, por sus siglas en inglés) y coincide con el perfil descrito por la ministra Bogantes.
El GTIG es un grupo de inteligencia de amenazas de Google Cloud, que rastrea ciberamenazas avanzadas, en colaboración con la empresa de ciberseguridad Mandiant.
Según la nota técnica por este grupo, UNC2814 estaba siendo rastreado desde el 2017 y, al momento de la desarticulación, tenía intrusiones confirmadas en 42 países, en cuatro continentes, y con infecciones sospechadas en al menos 20 más.
El arma central de este grupo de ciberespionaje —supuestamente vinculado con la República Popular China—, es un programa malicioso denominado GRIDTIDE: una puerta trasera —término técnico para un acceso oculto e ilegítimo a un sistema—, escrito en lenguaje C, capaz de ejecutar comandos remotos, subir archivos al sistema comprometido y extraer información.
Su característica más sofisticada es la manera en que se comunica con sus operadores. En lugar de usar servidores propios —más fáciles de detectar y bloquear—, GRIDTIDE usa Google Sheets como canal de mando y control, camuflando el tráfico malicioso dentro de llamadas legítimas a esa aplicación de hojas de cálculo.
De esa forma, explota el funcionamiento correcto de su interfaz de programación (API), para que el tráfico malicioso parezca indistinguible del uso habitual de la herramienta.
Eso significa, que el ataque no aprovecha ninguna falla de seguridad en los productos de Google.
¿Cómo opera el ataque?
Una vez instalado en el sistema de la víctima, GRIDTIDE borra el contenido previo de la hoja de cálculo utilizada como canal, recopila información del equipo comprometido —nombre de usuario, sistema operativo, dirección de red, zona horaria— y la envía a una celda específica del documento controlado por el atacante.
A partir de ese momento, el grupo puede enviar comandos codificados a través de la hoja de cálculo: ejecutar instrucciones en el sistema, descargar herramientas adicionales o extraer archivos en fragmentos de hasta 45 kilobytes.
Todo ese tráfico circula cifrado y codificado, lo que dificulta su detección por los sistemas de seguridad convencionales.
Para garantizar persistencia —es decir, que el acceso se mantenga incluso si el sistema se reinicia—, el atacante instala el programa como un servicio del sistema operativo.
Complementariamente, despliega una herramienta de red privada virtual (SoftEther VPN Bridge) que establece una conexión cifrada saliente hacia servidores externos controlados por el grupo, cuya infraestructura, según Google, ha estado activa desde julio del 2018.
Objetivo: Telecomunicaciones y datos personales
La campaña de UNC2814 se concentró principalmente en operadoras de telecomunicaciones y entidades gubernamentales. Como el ICE, por ejemplo.
En los sistemas comprometidos, el grupo accedió a información de identificación personal, incluyendo nombres completos, números de teléfono, fechas y lugares de nacimiento, así como números de identificación nacional y de padrón electoral.
Según el informe de Google, ese tipo de datos es consistente con operaciones de espionaje enfocadas en identificar, rastrear y monitorear personas de interés.
Campañas similares han sido utilizadas para extraer registros de llamadas, interceptar mensajes de texto sin cifrar y comprometer los sistemas de escucha legal de las operadoras.
El 25 de febrero, Google ejecutó una serie de acciones coordinadas para desmantelar la infraestructura de UNC2814: terminó todos los proyectos en Google Cloud controlados por el atacante y desactivó las cuentas utilizadas para el mando y control.
Además, bloqueó el acceso a la API (Interfaz de Programación de Aplicaciones) de Google Sheets empleada en la operación y publicó una lista de indicadores de compromiso —direcciones de red, dominios y firmas de los archivos maliciosos— para que otras organizaciones puedan detectar si fueron afectadas.
Google advirtió que, pese a la desarticulación, UNC2814 intentará reconstruir su infraestructura y retomar sus operaciones.