TA499, el grupo de ciberdelincuentes rusos que busca ridiculizar a las personalidades que respaldan a Ucrania

Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha presentado el informe de su última investigación relativa a los ciberataques que se están produciendo, por parte de un grupo de ciberdelincuentes prorruso, contra aquellos políticos y personalidades que apoyan a Ucrania en el conflicto bélico. Se trata del grupo TA499, también conocido como Vova o Lexus.

Este equipo lleva funcionando desde 2021, aunque sus acciones se han intensificado desde la invasión rusa iniciada en febrero del pasado año, volviéndose más agresivos y amenazantes. El grupo TA499 se basa en la tecnología deepfake y las plataformas de contenido YouTube o RuTube para generar desinformación a partir de acciones de suplantación de identidad.

Su método de actuación

El grupo TA499 actúa siempre siguiendo la misma dinámica. Se basa en el envío de cadenas de correos electrónicos a través del proveedor ucrania Ukr.net y se hacen pasar por la embajada de Ucrania en Estados Unidos, e incluso por el primer ministro ucraniano Denys Shmyhal o Leonid Volkov, mano derecha del opositor de Vladimir Putin, Alexéi Navalni.

Ellos cambian de forma estratégica las direcciones de email, de tal modo que aunque parezca que una cuenta está inactiva, podrían volverla a utilizar en futuras campañas. A través de esos mensajes enviados intentan recopilar información de las víctimas y programar una llamada telefónica o videollamada.

Los correos electrónicos como tal no incluyen malware, sino comunicados o invitaciones, empleando como gancho el asunto del email en el que suelen poner: ‘Parlamento de Ucrania- Nombre del CEO’, y luego añaden la solicitud de videollamada. Ellos se hacen pasar por esos políticos rusos pro-ucranianos, mediante la utilización de eficientes tecnologías, y luego graban la videollamada y la publican en YouTube y RuTube con el objeto de ridiculizar a dichas personalidades.

El maquillaje o las técnicas eficientes de ingeniería social como el deepfake son recursos comunes para suplantar a los individuos y suplantar a sus víctimas, aunque todo hace indicar que no usan moduladores de voz, debido a que los contactos desconocen por completo cómo es el registro vocal de su destinatario.

El TA499 ruso siempre sigue el mismo esquema, pues empieza con un tono serio para conseguir que la víctima le ofrezca la máxima información posible. Su contacto le empieza a formular infinidad de preguntas, pero ellos le responden con la información que se les ha dado anteriormente, incitando a que la conversación siguiese su curso. La conversación pasa luego a un tono más risueño, incluso de contenidos absurdos, para intentar captar al objetivo en comentarios embarazosos que luego serán editados para darle mayor énfasis y ridiculizarlos a posteriori.

La evolución de su actuación

Las campañas iniciales de 2022 de TA499 se basaron en el empleo del mismo dominio controlado por oleksandrmerezhko[.]com. Por su parte, la dirección de correo electrónico del remitente era office@oleksandrmerezhko[.]com, la misma que durante las campañas de 2021. Se dirigieron a personas que se pronunciaron sobre: el proyecto de ley para armar a Ucrania contra Rusia, el apoyo a sanciones en el Oleoducto Nord Stream II y el bombardeo de activos militares rusos y otras acciones militares.

En marzo de 2022, TA499 adoptó nuevas suplantaciones de identidad haciéndose pasar por el primer ministro ucraniano y su asistente. Las direcciones de correo de los remitentes aprovecharon el servicio de Internet y el proveedor Ukr.net para hacerse pasar por la Embajada de Ucrania en EEUU, centrándose los temas en funcionarios ucranianos.

A mediados de 2022, se comenzó a utilizar la dirección de correo electrónico adicional embassy.chernysh@ukr[.]net con el tema de la embajada y un dominio alusivo al Organismo Internacional de Energía Atómica (OIEA) para enviar correos electrónicos de solicitud de ayuda. La atención internacional a la situación de emergencia que vivía la planta de energía nuclear de Zaporizhzhia les llevó a seguir esta estrategia.

El respaldo del Kremlin

Los investigadores de ciberseguridad de Proofpoint no han logrado detectar el nivel de respaldo que les ofrece el gobierno de Putin, aunque es sin duda una estrategia que ayuda a recabar apoyo y simpatía con respecto al régimen ruso.

El TA499 es un grupo público que cada vez consigue ganar un mayor número de adeptos, figurando sus integrantes en medios de comunicación proclives al gobierno ruso y asistiendo a conferencias en las que dan la cara y muestran su rotundo apoyo al gobierno de Putin.

La recomendación

Desde Proofpoint se insta a quienes reciban este tipo de correos electrónicos a que sospechen antes de ofrecer una respuesta o de aceptar una videollamada sin haber existido un contacto estrecho previo. Solo así la víctima podrá eludir sus convincentes imitaciones, identificar el ataque y acabar con sus estrategias delictivas.

La previsión es que el grupo TA499 siga especializándose, ganando más integrantes e incluso reforzando su posición con respecto al conflicto. La guerra entre Rusia y Ucrania no acabará a corto plazo, de tal modo que el nivel de creatividad de estos ciberdelincuentes se irá perfeccionando y aumentando el rango de sus víctimas, pasando de altos mandatarios a otros objetivos, incluso a la población civil.

 

 

La entrada TA499, el grupo de ciberdelincuentes rusos que busca ridiculizar a las personalidades que respaldan a Ucrania es original de MuySeguridad. Seguridad informática.