Plausible Denial
Países / Russia

GRU Unit 74455 (Main Centre for Special Technologies)

GRU 74455

El Centro Principal de Tecnologías Especiales de la Dirección Principal de Inteligencia rusa — la unidad de operaciones cibernéticas destructivas del GRU. Responsable de los ataques BlackEnergy / Industroyer contra la red eléctrica ucraniana, el ataque del malware tipo wiper NotPetya de junio de 2017, el ataque Olympic Destroyer de 2018 contra la ceremonia de apertura de los Juegos Olímpicos de Invierno de PyeongChang, y VPNFilter. Imputada por el Departamento de Justicia de los Estados Unidos en octubre de 2020 con seis oficiales nombrados.

0:00 / 0:00

Lectura en audio de este perfil.

Resumen

La Unidad 74455 es la designación institucional del Centro Principal de Tecnologías Especiales de la Dirección Principal de Inteligencia rusa (GRU) — la unidad de operaciones cibernéticas destructivas del GRU, estructuralmente distinta de la principal unidad de recolección cibernética Unidad 26165. Mientras que la misión de la Unidad 26165 es la exfiltración y la divulgación selectiva, la misión de la Unidad 74455 es el efecto operativo: interrumpir, degradar o destruir los sistemas informáticos del objetivo y los sistemas que estos controlan.1

El perfil operativo documentado de la unidad es el más destructivo del registro público de operaciones cibernéticas estatales. Sus operaciones han causado los únicos cortes de electricidad confirmados inducidos por ciberataques en el registro moderno (BlackEnergy 2015, Industroyer 2016), el mayor daño económico de cualquier operación cibernética individual en la historia (NotPetya, ~10.000 millones de USD), y el único intento documentado de interrupción de unos Juegos Olímpicos (el ataque Olympic Destroyer contra la ceremonia de apertura de los Juegos Olímpicos de Invierno de PyeongChang 2018). La unidad es rastreada por la industria de inteligencia de amenazas bajo la denominación Sandworm — el libro de Andy Greenberg de 2019 Sandworm: A New Era of Cyberwar es la fuente secundaria canónica — y bajo múltiples otras etiquetas de proveedores, incluidas APT44 (Mandiant), Voodoo Bear (CrowdStrike), Iridium y posteriormente Seashell Blizzard (Microsoft), Telebots (ESET) y ELECTRUM (Dragos).2

Historia y orígenes

La unidad se consolidó aproximadamente en 2009, sobre la base de las capacidades previas del GRU en guerra electrónica y ataques a redes informáticas. Su designación institucional actual y su dirección quedaron establecidas mediante la imputación del DOJ de los Estados Unidos de octubre de 2020 contra seis oficiales nombrados. La unidad tiene su sede en el número 22 de la calle Kirova, en Khimki, un suburbio de la región de Moscú — el edificio "Torre" referenciado en reportajes periodísticos posteriores.3

La huella operativa públicamente atestiguada de la unidad comienza aproximadamente en 2014, con las intrusiones BlackEnergy contra operadores ucranianos de distribución eléctrica que culminarían en el ataque de diciembre de 2015. El período 2015–2018 abarca las principales operaciones sobre las que descansa actualmente en gran medida la reputación pública de la unidad.4

Huella operativa (documentada)

BlackEnergy — ataque contra la red eléctrica ucraniana, 23 de diciembre de 2015. Un ciberataque coordinado contra tres operadores regionales ucranianos de distribución eléctrica — Prykarpattyaoblenergo, Chernivtsioblenergo y Kyivoblenergo — que interrumpió el suministro eléctrico a aproximadamente 230.000 clientes durante entre una y seis horas. El ataque utilizó las familias de malware BlackEnergy 3 y KillDisk y un elemento manual-operativo en el que operadores se sentaron ante estaciones de trabajo SCADA y accionaron físicamente interruptores. El ataque es el primer corte eléctrico inducido por medios cibernéticos atestiguado públicamente en la historia. La atribución a la Unidad 74455 quedó establecida mediante la imputación del DOJ de los Estados Unidos de octubre de 2020.5

Industroyer / CrashOverride — segundo ataque contra la red ucraniana, 17 de diciembre de 2016. Un nuevo ataque contra la infraestructura eléctrica ucraniana, esta vez dirigido contra las subestaciones de transmisión de Ukrenergo en Kyiv. La familia de malware Industroyer (también rastreada como CrashOverride) fue el primer malware operativo atestiguado públicamente diseñado específicamente para manipular protocolos de sistemas de control industrial (IEC 60870-5-101 e 60870-5-104, IEC 61850 y OPC Data Access) sin intervención del operador. ESET Research y Dragos publicaron el análisis técnico en junio de 2017.6

NotPetya — 27 de junio de 2017. Un ataque de malware tipo wiper disfrazado de ransomware, inicialmente dirigido contra objetivos ucranianos mediante un ataque a la cadena de suministro del software de contabilidad ucraniano M.E.Doc y aprovechando como arma el exploit SMBv1 EternalBlue filtrado de la NSA para el movimiento lateral. El ataque se propagó globalmente en horas, causando aproximadamente 10.000 millones de USD en daño económico total entre corporaciones multinacionales incluyendo Maersk (~300 millones de USD), Merck (~1.400 millones de USD), la filial TNT de FedEx (~400 millones de USD), Mondelez International (~180 millones de USD) y Saint-Gobain. El ataque es la operación cibernética económicamente más destructiva de la historia.7

Olympic Destroyer — apertura de los Juegos Olímpicos de Invierno de PyeongChang, 9 de febrero de 2018. Un ciberataque destructivo contra la infraestructura operativa de los Juegos Olímpicos de Invierno de PyeongChang 2018, ejecutado durante la ceremonia de apertura olímpica. El ataque interrumpió los sistemas informáticos olímpicos, incluidos el sitio web oficial, el Wi-Fi público, la infraestructura de transmisión y los sistemas de venta de entradas. El ataque fue técnicamente sofisticado en su uso de indicadores de bandera falsa — incorporó firmas forenses de Lazarus Group, APT28 y conglomerados atribuidos a China para intentar una mala atribución. La atribución final a la Unidad 74455 quedó establecida mediante el trabajo forense de CrowdStrike y confirmada por la imputación del DOJ de los Estados Unidos de octubre de 2020.8

VPNFilter — botnet de routers SOHO de 2018. Un implante modular de múltiples etapas desplegado en aproximadamente 500.000 routers de pequeñas oficinas y oficinas domésticas en todo el mundo, con capacidad para interceptar tráfico, persistir entre reinicios y destruir físicamente el dispositivo subyacente. Interrumpido por Cisco Talos y el FBI en mayo de 2018 — el FBI obtuvo una orden judicial para redirigir la infraestructura de comando y control del implante a su propio sumidero. Atribución a la Unidad 74455 por parte de Cisco Talos en el anuncio de divulgación pública.9

Atribución e imputación

La imputación del Departamento de Justicia de los Estados Unidos del 19 de octubre de 2020 nombró como acusados a seis oficiales de la Unidad 74455 — Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko y Petr Pliskin — por cargos que incluían conspiración para cometer fraude informático, fraude electrónico y robo de identidad agravado. Los acusados nombrados están imputados en relación con los ataques BlackEnergy / Industroyer / KillDisk contra la red ucraniana, la operación NotPetya, la interferencia en las elecciones francesas de Macron de 2017, el ataque Olympic Destroyer de 2018 y las intrusiones de 2018 contra la investigación del envenenamiento con Novichok.10

La atribución conjunta de los Five Eyes sobre NotPetya (febrero de 2018), las sanciones específicas del Consejo Europeo de octubre de 2020 contra personal de la Unidad 74455 y la dirección del GRU Centro 18, y la atribución del Olympic Destroyer por parte del Ministerio de Asuntos Exteriores y de la Mancomunidad del Reino Unido de octubre de 2020 establecen colectivamente la posición institucional de la unidad como actor de amenazas públicamente nombrado en toda la arquitectura de atribución de los Estados Unidos, la Unión Europea y los Five Eyes.11

Véase también

  • GRU — servicio matriz
  • GRU Unidad 26165 — unidad hermana, el brazo de recolección cibernética del GRU
  • NotPetya — la operación económicamente más destructiva de la unidad
  • NSA TAO — origen del exploit EternalBlue que NotPetya utilizó como arma
  • Revelaciones de Snowden — contexto sobre la filtración de Shadow Brokers que expuso EternalBlue
  • Designación APT — el contexto de las convenciones de nomenclatura

Fuentes y lecturas adicionales

  1. United States v. Yuriy Sergeyevich Andrienko et al., Indictment, U.S. District Court for the Western District of Pennsylvania (15 October 2020) — el documento fundacional de cargos contra la Unidad 74455, disponible en justice.gov. La imputación especifica la designación institucional de la Unidad 74455 como el Centro Principal de Tecnologías Especiales e identifica su cadena de mando operativa.
  2. Andy Greenberg, Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers (Doubleday, 2019) — la fuente secundaria canónica; Mandiant, APT44: Unearthing Sandworm (abril de 2024) — el historial técnico consolidado hasta principios de 2024; serie Global Threat Report de CrowdStrike; ESET Research, análisis de Telebots (2016–2018); Dragos, perfil del grupo de amenazas ELECTRUM.
  3. DOJ Indictment, op. cit.; Greenberg, op. cit., sobre el edificio "Torre" de Khimki y la ubicación institucional de la unidad dentro del Centro Principal de Tecnologías Especiales del GRU.
  4. ESET Research, BlackEnergy by the SSHBearDoor: attacks against Ukrainian news media and electric industry (enero de 2016); SANS Industrial Control Systems, Analysis of the Cyber Attack on the Ukrainian Power Grid (18 de marzo de 2016) — el análisis técnico canónico del ataque de diciembre de 2015.
  5. DOJ Indictment, op. cit.; SANS ICS, op. cit.; Greenberg, Sandworm, op. cit., Capítulo 9.
  6. ESET Research, Win32/Industroyer: A new threat for industrial control systems (12 de junio de 2017); Dragos, CRASHOVERRIDE: Analysis of the Threat to Electric Grid Operations (12 de junio de 2017). Los dos informes fueron coordinados y representan la literatura técnica fundacional sobre Industroyer.
  7. Véase el dossier de NotPetya para el registro operativo y económico completo. Greenberg, Sandworm, op. cit., Capítulos 14–17, es la principal fuente secundaria. El anuncio de atribución conjunta de los Five Eyes está fechado el 15 de febrero de 2018.
  8. DOJ Indictment, op. cit.; Andy Greenberg, The Untold Story of the 2018 Olympics Cyberattack, the Most Deceptive Hack in History, Wired (17 de octubre de 2019); CrowdStrike Intelligence, Olympic Destroyer Technical Analysis (abril de 2018).
  9. Cisco Talos Intelligence Group, New VPNFilter malware targets at least 500K networking devices worldwide (23 de mayo de 2018); comunicado de prensa del Federal Bureau of Investigation de los Estados Unidos, 23 de mayo de 2018, anunciando la interrupción autorizada judicialmente.
  10. DOJ Indictment, op. cit. La imputación está fechada el 15 de octubre de 2020; el anuncio de desclasificación está fechado el 19 de octubre de 2020.
  11. United Kingdom National Cyber Security Centre, UK exposes series of Russian cyber attacks against Olympic and Paralympic Games (19 de octubre de 2020); European Council Decision (CFSP) 2020/1537 (22 de octubre de 2020) — sanciones específicas contra el personal de la Unidad 74455.