Plausible Denial
Países / Russia

GRU Unit 26165 (85th Main Special Service Centre)

GRU 26165

El 85.º Centro Principal de Servicios Especiales de la Dirección Principal de Inteligencia rusa (GRU) — la principal unidad de explotación de redes informáticas y operaciones de influencia del GRU. Imputada por el Departamento de Justicia de Estados Unidos en julio de 2018 por la intrusión de 2016 en el Comité Nacional Demócrata; rastreada en la industria de inteligencia de amenazas como Fancy Bear, APT28, Forest Blizzard y otras varias etiquetas de proveedores.

0:00 / 0:00

Lectura en audio de este perfil.

Resumen

La Unit 26165 es la designación institucional del 85.º Centro Principal de Servicios Especiales de la Dirección Principal de Inteligencia rusa (GRU) — la principal unidad de explotación de redes informáticas y operaciones de influencia del GRU, con sede en el número 20 de Komsomolsky Prospekt, en el centro de Moscow. La misión de la unidad es el uso de operaciones cibernéticas para apoyar los requisitos de recolección de la inteligencia militar rusa: penetración de redes de gobiernos extranjeros, diplomáticas, militares y de partidos políticos, exfiltración de comunicaciones y documentos, y liberación selectiva del material exfiltrado en apoyo de las operaciones de influencia rusas más amplias.1

La identidad institucional de la unidad se establece en el registro público principalmente mediante la imputación del Departamento de Justicia de Estados Unidos de julio de 2018 contra doce oficiales del GRU nombrados, nueve de los cuales fueron identificados específicamente como personal de la Unit 26165 y fueron acusados por las intrusiones de 2016 en el Comité Nacional Demócrata, el Comité de Campaña del Congreso Demócrata y la campaña de Clinton. La imputación especificó la dirección de la unidad, su ubicación organizativa dentro del GRU y la cadena de mando operativa hasta el coronel general Igor Korobov, entonces jefe del GRU.2

En la industria de inteligencia de amenazas, la actividad de la unidad se rastrea bajo múltiples designaciones de proveedores: Fancy Bear (CrowdStrike), APT28 (Mandiant), Sofacy (Kaspersky Lab), Pawn Storm (Trend Micro), Sednit (ESET), STRONTIUM y luego Forest Blizzard (Microsoft), y Tsar Team (iSIGHT Partners). Véase designación APT para el contexto sobre las convenciones de nomenclatura. Las correspondencias son estrechas: todas las etiquetas se refieren a la misma entidad institucional subyacente.3

Historia y orígenes

La unidad tiene raíces institucionales en las formaciones de inteligencia de señales y guerra electrónica del GRU del periodo soviético tardío, pero su consolidación como principal unidad cibernética operativa del GRU data de mediados de la década de 2000 — el periodo en el que la capacidad cibernética de la inteligencia militar rusa transitó de ser una capacidad experimental de las unidades de recolección de señales a una misión operativa dedicada con una estructura de mando separada. La unidad adquirió su designación actual como 85.º Centro Principal de Servicios Especiales en 2002, según el expediente de la imputación y la investigación de apoyo de la National Crime Agency del Reino Unido.4

La huella operativa atestiguada públicamente comienza aproximadamente en 2007, con lo que los informes posteriores del clúster Sednit caracterizaron como la primera campaña de intrusión sostenida importante de la unidad —contra objetivos gubernamentales de la región del Cáucaso— y continúa hasta el presente. A mediados de la década de 2010 el ritmo operativo de la unidad se expandió sustancialmente, y el periodo 2014-2017 abarcó las operaciones sobre las que la reputación pública de la unidad descansa ahora sustancialmente.5

Huella operativa (documentada)

La huella operativa documentada públicamente de la Unit 26165 incluye:

La campaña rusa de intrusiones contra instituciones políticas occidentales de 2014-2017. La intrusión de 2015 en el Bundestag alemán (posteriormente confirmada por la atribución del Bundesamt für Verfassungsschutz); la intrusión de 2016 contra el Comité Nacional Demócrata de Estados Unidos, el Comité de Campaña del Congreso Demócrata y el personal de la campaña de Hillary Clinton (imputación del DOJ de Estados Unidos de julio de 2018, véase el informe del Fiscal Especial Volumen I); las intrusiones paralelas de 2016-2017 contra la campaña francesa de Macron (posteriormente filtradas como los MacronLeaks); la intrusión de 2016 contra la Agencia Mundial Antidopaje en represalia por el Informe McLaren sobre el dopaje deportivo patrocinado por el Estado ruso. Las cuatro operaciones siguieron el mismo patrón operativo documentado: spearphishing del personal objetivo, captura de credenciales, acceso persistente a cuentas de correo electrónico, exfiltración de correspondencia y documentos, y liberación selectiva a través de los personajes DCLeaks y Guccifer 2.0, que la imputación de Estados Unidos estableció como coberturas operativas de la Unit 74455 coordinadas con las operaciones de robo de documentos de la Unit 26165.6

Operaciones contra instituciones internacionales de gobernanza deportiva. A la intrusión contra WADA de 2016 le siguieron operaciones en 2018 contra el Comité Olímpico Internacional, el Tribunal de Arbitraje Deportivo y la Organización para la Prohibición de las Armas Químicas (el organismo con sede en La Haya que investigaba el ataque con armas químicas en Salisbury contra Sergei Skripal). La operación contra la OPAQ fue desbaratada por la inteligencia militar neerlandesa en abril de 2018 en la sede de la OPAQ en La Haya; cuatro oficiales de la Unit 26165 se encontraban físicamente presentes en los Países Bajos con equipamiento operativo, fueron detenidos y posteriormente nombrados públicamente por las autoridades neerlandesas.7

Recolección persistente contra objetivos gubernamentales estadounidenses y europeos. El registro operativo divulgado públicamente acredita una recolección sostenida contra agencias del poder ejecutivo de Estados Unidos (Departamento de Estado, Pentágono, elementos de la comunidad de inteligencia) durante el periodo 2014-2020, contra la sede de la Organización del Tratado del Atlántico Norte y varios ministerios europeos de asuntos exteriores, y contra el Parlamento Europeo. La misión de recolección es más amplia que las operaciones de influencia; la mayor parte de ella no aflora públicamente porque el material exfiltrado no se libera externamente.8

Atribución e imputación

La imputación del Departamento de Justicia de Estados Unidos del 13 de julio de 2018 nombró a nueve oficiales de la Unit 26165 como acusados por cargos que incluían conspiración para cometer fraude informático, conspiración para cometer fraude electrónico, robo de identidad agravado y blanqueo de capitales. Los acusados nombrados de la Unit 26165 —Viktor Netyksho, Boris Antonov, Dmitry Badin, Ivan Yermakov, Aleksey Lukashev, Sergey Morgachev, Nikolay Kozachek, Pavel Yershov y Artem Malyshev— fueron acusados en relación con las intrusiones de 2016 contra el DNC, el DCCC y la campaña de Clinton; otros tres oficiales del GRU de la Unit 74455 (la unidad responsable de NotPetya y otras operaciones destructivas) fueron acusados en la misma imputación por las operaciones de publicación y amplificación de DCLeaks y Guccifer 2.0.9

Las declaraciones conjuntas de atribución del Reino Unido, Estados Unidos, Australia, Canadá y Nueva Zelanda de octubre de 2018 atribuyeron por separado las operaciones contra el Bundestag, WADA, el COI y la OPAQ a la Unit 26165 y nombraron públicamente a la unidad. El Consejo Europeo impuso sanciones específicas a personal de la Unit 26165 en octubre de 2020, nombrando a Igor Kostyukov (entonces jefe en funciones del GRU) y a cuatro oficiales operativos. La posición institucional de la unidad como actor de amenazas nombrado públicamente en la arquitectura de atribución de Estados Unidos, la Unión Europea y los Cinco Ojos está consolidada.10

Véase también

Fuentes y lecturas adicionales

  1. United States v. Viktor Borisovich Netyksho et al., Indictment, U.S. District Court for the District of Columbia (13 de julio de 2018) — el documento fundacional de los cargos, disponible en justice.gov. La imputación especifica la designación institucional, la dirección y la cadena de mando operativa de la Unit 26165. Las declaraciones de atribución posteriores del National Cyber Security Centre del Reino Unido (octubre de 2018, octubre de 2020) corroboran la identificación.
  2. Mueller, Robert S. III, Report on the Investigation Into Russian Interference in the 2016 Presidential Election, Volumen I (marzo de 2019), pp. 36-50 — la narrativa del Fiscal Especial sobre el papel operativo de la Unit 26165 en el ciclo de 2016.
  3. Serie Global Threat Report de CrowdStrike (anual, desde 2014); Mandiant, APT28: A Window Into Russia's Cyber Espionage Operations (octubre de 2014); perfiles de actores de amenazas del Insikt Group de Recorded Future; análisis técnicos Sednit de ESET Research (2014-2018); perfil del actor de amenazas Forest Blizzard (anteriormente STRONTIUM) de Microsoft Threat Intelligence.
  4. DOJ Indictment, op. cit. (que especifica la designación de la Unit 26165 en 2002 como el 85.º Centro Principal de Servicios Especiales); materiales investigativos posteriores en el Mueller Report, op. cit.; expediente de investigación de la National Crime Agency y el National Cyber Security Centre del Reino Unido (parcialmente publicado mediante divulgaciones posteriores).
  5. ESET Research, En Route with Sednit (serie de informes técnicos, 2014-2018) — la reconstrucción técnica más extensa de la historia operativa de la Unit 26165 hasta 2018; Mandiant, APT28, op. cit.
  6. DOJ Indictment, op. cit.; Mueller Report Volumen I, op. cit.; atribución pública del Bundesamt für Verfassungsschutz sobre la intrusión de 2015 en el Bundestag; cobertura francesa de Le Monde sobre los MacronLeaks de 2017 (5 de mayo de 2017); declaración pública de la Agencia Mundial Antidopaje sobre la intrusión de 2016.
  7. Conferencia de prensa del Servicio de Inteligencia y Seguridad Militar Neerlandés (MIVD), 4 de octubre de 2018 — la identificación pública de cuatro oficiales de la Unit 26165 detenidos en la sede de la OPAQ en La Haya. El anuncio neerlandés se coordinó con las declaraciones conjuntas de atribución del Reino Unido y Estados Unidos de octubre de 2018.
  8. Mandiant, APT28, op. cit.; CrowdStrike, Bears in the Midst: Intrusion into the Democratic National Committee (junio de 2016); Federal Bureau of Investigation, declaraciones conjuntas con el Departamento de Seguridad Nacional sobre operaciones cibernéticas rusas (2016-2020).
  9. DOJ Indictment, op. cit. La imputación nombra a doce oficiales del GRU en total — nueve de la Unit 26165 y tres de la Unit 74455. Los acusados de la Unit 26165 son identificados por nombre, rango de oficial del GRU y rol operativo dentro de la unidad.
  10. National Cyber Security Centre del Reino Unido, Reckless campaign of cyber attacks by Russian military intelligence service exposed (4 de octubre de 2018); Decisión del Consejo Europeo (PESC) 2020/1537 — sanciones específicas contra personal de la Unit 26165 (22 de octubre de 2020); Andy Greenberg, Sandworm: A New Era of Cyberwar (Doubleday, 2019), Capítulo 14 sobre la coordinación occidental de atribución de 2018.