Plausible Denial
Países / Russia

SVR cyber operations

SVR cyber

El principal esfuerzo de explotación de redes informáticas del Servicio de Inteligencia Exterior de la Federación de Rusia — el brazo de recolección cibernética responsable de las intrusiones de 2014–15 contra la Casa Blanca y el Departamento de Estado, el acceso inicial de 2016 al Comité Nacional Demócrata, el compromiso de la cadena de suministro de SolarWinds / SUNBURST en 2020 y la campaña de recolección de 2020–21 contra la investigación de vacunas contra la COVID-19. Atribuido públicamente al SVR por Estados Unidos y el Reino Unido en abril de 2021.

0:00 / 0:00

Lectura en audio de este perfil.

Resumen

La capacidad de operaciones cibernéticas del SVR es el principal esfuerzo de explotación de redes informáticas del Servicio de Inteligencia Exterior de la Federación de Rusia. A diferencia de las entradas sobre la Unidad 26165 del GRU y la Unidad 74455 — ambas identifican una unidad subordinada institucional específica con una designación públicamente conocida —, la estructura interna de las unidades cibernéticas operativas del SVR no ha sido divulgada públicamente con la misma precisión. El referente institucional atribuido públicamente es "el SVR" — específicamente la misión de recolección de inteligencia exterior del SVR, distinta de la misión cibernética de inteligencia militar del GRU y de la misión cibernética de seguridad interna del FSB.1

La huella operativa cibernética del SVR es la más sigilosa de los principales actores cibernéticos rusos. Mientras que la misión de la Unidad 26165 del GRU combina la recolección con la difusión selectiva de material exfiltrado en apoyo de campañas de influencia más amplias, y la misión de la Unidad 74455 es el efecto operativo contra sistemas objetivo, la misión cibernética del SVR es la recolección convencional de inteligencia exterior: acceso sostenido, de baja firma y larga duración a objetivos extranjeros de alto valor sin difusión visible al público. El perfil del tradecraft operativo muestra tiempos de permanencia operativa sustancialmente más largos, una exfiltración más selectiva y prácticas de seguridad operativa sustancialmente mejores que las de los comparables del GRU.2

En toda la industria de inteligencia de amenazas, la actividad se rastrea bajo varias etiquetas de proveedores: Cozy Bear (CrowdStrike), APT29 (Mandiant), The Dukes (F-Secure / WithSecure), Nobelium y luego Midnight Blizzard (Microsoft), Cloaked Ursa (Palo Alto Unit 42), IRON HEMLOCK (Secureworks), Dark Halo (Volexity) y UNC2452 (designación de clúster sin clasificar de Mandiant antes de su consolidación bajo APT29). La actividad de Cozy Bear anterior a 2016 también fue atribuida históricamente en algunas taxonomías de proveedores al Centro 16 del FSB (el Centro de Seguridad de la Información del FSB); la posterior reatribución de la actividad más reciente de ese clúster se ha estabilizado en el SVR. Véase APT designation para el contexto de las convenciones de nomenclatura.3

Historia y orígenes

Las operaciones cibernéticas del SVR descienden institucionalmente de la capacidad de recolección de redes informáticas de la Primera Dirección General de la KGB del período soviético tardío, que con la disolución de 1991 pasó al SVR (entonces un servicio separado del FSB) y continuó sustancialmente sin interrupción organizativa. La capacidad cibernética operativa contemporánea — distinta del papel más amplio de recolección de señales — se consolidó a mediados de la década de 2000, cuando el SVR construyó herramientas dedicadas de explotación de redes informáticas y tradecraft operativo separados de sus misiones convencionales de inteligencia humana y de recolección en embajadas.4

La huella operativa públicamente atestiguada comienza aproximadamente en 2008 con la familia de implantes MiniDuke — documentada por primera vez por Kaspersky Lab (conjuntamente con CrySyS Lab) en febrero de 2013 —, que posteriormente se convirtió en la herramienta fundacional de lo que ahora se rastrea como el clúster APT29 / Cozy Bear. El tempo operativo se ha expandido sustancialmente a lo largo del período posterior a 2014.5

Huella operativa (documentada)

Intrusiones en el poder ejecutivo de Estados Unidos en 2014–2015. Acceso sostenido al sistema de correo electrónico no clasificado del Departamento de Estado de Estados Unidos (2014), a la red no clasificada de la Oficina Ejecutiva del Presidente en la Casa Blanca (2014–2015) y al sistema de correo electrónico no clasificado del Estado Mayor Conjunto (2015). Las operaciones fueron parcialmente públicas — las intrusiones en la Casa Blanca y el Departamento de Estado se divulgaron públicamente en 2015 — y la atribución institucional al "gobierno ruso" fue confirmada por declaraciones del gobierno de Estados Unidos en su momento, aunque sin nombrar específicamente al SVR hasta más tarde.6

Acceso inicial al Comité Nacional Demócrata en 2015–2016. Según el registro forense de CrowdStrike y el informe del Fiscal Especial, un actor atribuido al SVR (Cozy Bear) tuvo acceso persistente a la red del DNC desde aproximadamente el verano de 2015 — de forma separada y previa a la intrusión de abril de 2016 por parte de la Unidad 26165 del GRU. El acceso del SVR fue descubierto por CrowdStrike en junio de 2016 junto con la intrusión del GRU; las dos intrusiones parecen haber sido operativamente independientes.7

Compromiso de la cadena de suministro de SolarWinds / SUNBURST en 2020. Un compromiso de la cadena de suministro de larga duración del software de gestión de redes Orion de SolarWinds, llevado a cabo desde aproximadamente marzo de 2020 en adelante y descubierto por FireEye en diciembre de 2020. Los atacantes obtuvieron acceso a la infraestructura de compilación de software de SolarWinds, insertaron una actualización con puerta trasera en el producto Orion y utilizaron esa puerta trasera para obtener acceso a aproximadamente 100 organizaciones clientes de SolarWinds de interés operativo — incluidos departamentos del poder ejecutivo de Estados Unidos (Tesoro, Comercio, Estado, Justicia, Energía, la Administración Nacional de Seguridad Nuclear), el Pentágono, la propia FireEye y Microsoft. La operación es la intrusión más significativa en la cadena de suministro en el registro públicamente atestiguado. La atribución conjunta de Estados Unidos y el Reino Unido al SVR se anunció el 15 de abril de 2021.8

Selección de objetivos de investigación de vacunas contra la COVID-19 en 2020–2021. Recolección sostenida contra instituciones farmacéuticas y académicas que realizaban investigación de vacunas contra la COVID-19 — incluidas AstraZeneca, el Instituto Jenner de la Universidad de Oxford y la infraestructura de suministro de vacunas adyacente a Pfizer. La atribución conjunta del NCSC del Reino Unido, la NSA de Estados Unidos y el CSE de Canadá al SVR se anunció el 16 de julio de 2020.9

Recolección en el sector diplomático. Acceso sostenido contra los servicios diplomáticos de múltiples Estados occidentales y no occidentales — establecido tanto a través de la operación SolarWinds (que contaba con requisitos de recolección sustancialmente centrados en sistemas de cables diplomáticos) como a través de operaciones separadas contra los ministerios de asuntos exteriores noruego, neerlandés y alemán documentadas en declaraciones de atribución posteriores. El patrón operativo es consistente a lo largo del período posterior a 2014: acceso sostenido a los sistemas de comunicaciones de los ministerios de asuntos exteriores, recolección selectiva de cables diplomáticos y correspondencia de política, sin difusión pública.10

Atribución y estado

La atribución conjunta de Estados Unidos y el Reino Unido de la operación SolarWinds al SVR, anunciada el 15 de abril de 2021, estableció el estatus institucional del SVR como un actor de amenazas públicamente nombrado en toda la arquitectura de atribución de los Cinco Ojos. El anuncio de la Casa Blanca de abril de 2021 y el aviso técnico paralelo del NCSC del Reino Unido nombraron específicamente "al SVR" — el servicio de inteligencia exterior — en lugar de a una unidad subordinada específica, lo que refleja el establecimiento más limitado en el registro público de la estructura cibernética organizativa interna del SVR en comparación con el GRU.11

Las operaciones y atribuciones posteriores a lo largo de 2021–2024 han mantenido el referente institucional al nivel del SVR. La atribución significativa más reciente — la declaración conjunta de mayo de 2024 sobre operaciones del SVR contra personal de partidos políticos estadounidenses y personal de think tanks durante el ciclo de 2024 — también se refiere al SVR sin especificación de unidad subordinada.12

Véase también

  • SVR — servicio matriz
  • GRU Unit 26165 — actor cibernético hermano del Estado ruso (servicio matriz distinto)
  • GRU Unit 74455 — actor cibernético hermano del Estado ruso (servicio matriz distinto, misión distinta)
  • APT designation — el contexto de las convenciones de nomenclatura
  • Snowden disclosures — contexto sobre el lado paralelo de la NSA / GCHQ de la misma doctrina de operaciones cibernéticas

Fuentes y lecturas adicionales

  1. White House Fact Sheet: Imposing Costs for Harmful Foreign Activities by the Russian Government (15 de abril de 2021) — la atribución pública de Estados Unidos de SolarWinds al SVR; declaración paralela de atribución del NCSC del Reino Unido (15 de abril de 2021).
  2. Thomas Rid, Active Measures: The Secret History of Disinformation and Political Warfare (Farrar, Straus and Giroux, 2020), capítulo 17 — análisis comparativo del tradecraft operativo del SVR frente al del GRU; Mandiant, UNC2452 Merged into APT29 (abril de 2022) — la consolidación del clúster de SolarWinds.
  3. F-Secure (ahora WithSecure), The Dukes: 7 years of Russian cyberespionage (septiembre de 2015) — el documento técnico fundacional de F-Secure sobre lo que se convertiría en APT29; serie Global Threat Report de CrowdStrike; Microsoft Threat Intelligence, perfil del actor de amenazas Midnight Blizzard.
  4. F-Secure, The Dukes, op. cit., sobre el linaje institucional; Rid, Active Measures, op. cit., sobre la continuidad KGB→SVR posterior a 1991.
  5. F-Secure, The Dukes, op. cit. — las reconstrucciones técnicas de MiniDuke y CosmicDuke; Kaspersky Lab, The MiniDuke Mystery (febrero de 2013).
  6. Michael S. Schmidt y David E. Sanger, Russian Hackers Read Obama's Unclassified Emails, Officials Say, New York Times (25 de abril de 2015) — el relato contemporáneo de la intrusión en la Casa Blanca; confirmación posterior en el Volumen I del Informe Mueller.
  7. CrowdStrike Intelligence, Bears in the Midst: Intrusion into the Democratic National Committee (junio de 2016); Mueller, Robert S. III, Report on the Investigation Into Russian Interference in the 2016 Presidential Election, Volumen I, pp. 36–38, sobre las intrusiones separadas de Cozy Bear y Fancy Bear en el DNC.
  8. FireEye Mandiant, Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims (13 de diciembre de 2020); Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA), Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments (enero de 2021); White House, Fact Sheet, op. cit. (15 de abril de 2021).
  9. NCSC del Reino Unido, Advisory: APT29 targets COVID-19 vaccine development (16 de julio de 2020) — conjunto con la NSA y el CSE.
  10. F-Secure, The Dukes, op. cit.; declaración pública del Servicio de Seguridad de la Policía Noruega (diciembre de 2020) atribuyendo intrusiones del Storting noruego a APT29; declaración de 2018 del Algemene Inlichtingen- en Veiligheidsdienst neerlandés sobre intrusiones del FSB y el SVR en los sistemas neerlandeses de asuntos exteriores.
  11. White House, Fact Sheet, op. cit.; atribución paralela del NCSC, op. cit.
  12. Microsoft Threat Intelligence, Microsoft actions following attack by nation-state actor Midnight Blizzard (marzo de 2024) — divulgación de la intrusión del SVR en los sistemas de correo corporativo de Microsoft; avisos conjuntos posteriores a lo largo de 2024.