Un grupo de espionaje cibernético relacionado con el ejército ruso ha desarrollado malware para Android, que se utiliza para infectar a los teléfonos inteligentes de soldados ucranianos y realizar un seguimiento de las unidades de artillería de campo de Ucrania, según un informe publicado hoy por CrowdStrike
El informe proviene de la misma empresa de seguridad que descubrió el "presunto" truco ruso de los servidores del Comité Nacional Demócrata (DNC) en abril de 2016.
De acuerdo con CrowdStrike, el grupo detrás del malware para Android que dirige las fuerzas militares de Ucrania se llama Fancy Bear , uno de los dos grupos que participan en el hack DNC, aunque el otro grupo, llamado Cozy Bear, fue mucho más activa.
El Grupo tiene vínculos con militares de Rusia
Basado en varios informes de varias empresas de seguridad en todo el mundo, el grupo de Fancy Bear parece tener vínculos con el GRU servicio de inteligencia militar ruso.
El grupo Fancy Bear también se identifica con varios otros nombres en diferentes informes de espionaje cibernético. A través del tiempo, el grupo ha sido indicado para el estroncio, APT28, Sednit, Tormenta Hipoteca, pero la mayoría de las veces ha sido nombrado Sofacy.
Sofacy es también el nombre de su herramienta de espionaje primaria, un conjunto de herramientas de acceso remoto (RAT), también conocido como X-Agent.
El Sofacy (X-agente) malware es único, ya que fue desarrollado por el grupo de Fancy Bear, y sólo despliega en sus operaciones de espionaje cibernético, y en ninguna otra parte.
CrowdStrike encuentra la versión Android de malware natal del grupo
Hasta conocimientos, las empresas de seguridad que han analizado la actividad del grupo se han encontrado variantes de este RAT Windows, Mac OS X y iOS.
De acuerdo con CrowdStrike, las cosas cambiaron durante el verano del 2016 cuando los analistas CrowdStrike descubrieron una aplicación para Android que contenía un nuevo tipo de malware que empleó el protocolo de comunicaciones clásico-X Agent, visto sólo en el malware originales Sofacy (X-Agent).
Después de echar un vistazo más profundo a la aplicación para Android, los investigadores descubrieron que se trataba de un clon después de una aplicación creada por un oficial de las fuerzas armadas de Ucrania, la 55ª Brigada de Artillería, llamado Yaroslav Sherstuk.
En declaraciones a Sherstuk, CrowdStrike supo que creó la aplicación con el fin de automatizar algunos cálculos matemáticos necesarios para calibrar cañones de obús D-30 utilizados por la artillería de Ucrania.
El oficial dijo que creó la aplicación en el año 2014 y se distribuye a otros agentes de las fuerzas armadas de Ucrania, pero sin alojarlo en Google Play Store. Se estima base de usuarios de la aplicación inicial de alrededor de 9.000 instalaciones.
A medida que el conflicto en el este de Ucrania evolucionó hacia un compromiso militar, en algún lugar a lo largo del camino, los operadores de fantasía osos tomaron una copia de esta aplicación, lo inyectaron con sus programas maliciosos, y se propagan en línea mediante la publicación de enlaces a la versión infectada en diversos foros militares de Ucrania.
Parece que antes de CrowdStrike encuentra la aplicación, varias fuerzas militares ucranianos podrían haber instalado la aplicación, con consecuencias nefastas.
El ejército ucraniano perdió el 80% de sus cañones obús D-30
De acuerdo con informes independientes, las fuerzas ucranianas perdieron el 50% de todas las armas de artillería en los últimos dos años, desde que la guerra comenzó en 2014. La más visible es que Ucrania perdió 80% de su arsenal de armas D-30 obús.
La variante de malware Sofacy tiene la capacidad de espiar a sus víctimas mediante la transmisión de los datos de localización geográfica de nuevo a los servidores de Fancy Bear.
Mientras CrowdStrike no ha descubierto teléfonos inteligentes que pertenezcan al personal de artillería de Ucrania infectados con el malware Sofacy, trazando la línea entre la existencia de este malware y la eficiencia de los rebeldes a la destrucción de armas de fuego D-30 es una conclusión a la que llegarían a muchos observadores de terceros.
Por otra parte, este es uno de los pocos casos en que se encontraron grupos ciberespionaje para operar en un campo de batalla en vivo, en lugar de al acecho en las sombras y la recogida de datos de las empresas extranjeras y los políticos.
