Un aumento en los ataques a cuentas de militares ucranianos, es lo que informó Facebook en estos días. Al apoderarse de las cuentas, en algunos casos los atacantes publicaron "vídeos en los que se pedía al Ejército que se rindiera", pero Facebook dijo que había bloqueado el uso compartido de los vídeos.
Meta, empresa propietaria de Facebook, en el informe del primer trimestre de 2022, habla en concreto de amenazas adversas y también dice que "ha visto un nuevo repunte en los intentos de compromiso dirigidos a miembros del ejército ucraniano por parte de Ghostwriter", una campaña de “hacking” (que ha sido vinculada al gobierno bielorruso). "Suele dirigirse a las personas a través del compromiso del correo electrónico y luego lo utiliza para obtener acceso a sus cuentas de redes sociales a través de Internet."
"Desde nuestra última actualización pública (el 27 de febrero), este grupo ha intentado hackear las cuentas de Facebook de docenas de militares ucranianos", escribió Meta el pasado jueves. Ghostwriter consiguió hackear las cuentas en "un puñado de casos" en los que "publicaron vídeos en los que se pedía al Ejército que se rindiera como si estas publicaciones procedieran de los propietarios legítimos de las cuentas. Hemos bloqueado estos vídeos para que no se compartan".
Vínculos de “Ghostwriter” con el gobierno de Bielorrusia
En su actualización del 27 de febrero, Meta dijo que había detectado los "intentos de Ghostwriter de dirigirse a personas en Facebook para publicar videos en YouTube en los que se retrataba a las tropas ucranianas como débiles y rendidas a Rusia, incluido un video que afirmaba mostrar a soldados ucranianos saliendo de un bosque mientras ondeaba una bandera blanca de rendición". También dijo que había "tomado medidas para asegurar las cuentas que creemos que fueron objetivo de este actor de la amenaza" y "bloqueó los dominios de phishing que estos hackers utilizaron para tratar de engañar a la gente en Ucrania para comprometer sus cuentas en línea." Sin embargo, como se ha mencionado anteriormente, Ghostwriter continuó sus operaciones y hackeó cuentas de personal militar ucraniano.
La empresa de seguridad Mandiant fue quien utilizó el nombre Ghostwriter por primera vez por para describir una campaña de influencia que "promueve narrativas críticas con la presencia de la Organización del Tratado del Atlántico Norte (OTAN) en Europa del Este." Mandiant dice que la campaña Ghostwriter está dirigida, al menos en parte, por "UNC1151, un presunto actor de ciber espionaje patrocinado por el Estado que se dedica a la recolección de credenciales y a las campañas de malware."
Mandiant, en noviembre de 2021, dijo que su investigación "evalúa con alta confianza que UNC1151 está vinculado al gobierno bielorruso... No podemos descartar que Rusia haya contribuido a UNC1151 o a Ghostwriter. Sin embargo, en este momento, no hemos descubierto pruebas directas de tales contribuciones." Bielorrusia tiene estrechos vínculos con el gobierno ruso y ha apoyado la invasión de Ucrania.
El grupo de inteligencia Insikt, en un informe decía que la "falta de pruebas técnicas que indiquen la participación rusa... es muy probable que sea un componente intencionado de la actividad de la amenaza. Hemos encontrado muchas coincidencias en las tácticas, técnicas y procedimientos (TTP) utilizados por la actividad de UNC1151 y Ghostwriter y los grupos de actividad de amenazas rusas. Además, observamos que las banderas falsas son frecuentes entre los grupos militares rusos de amenazas persistentes."
Las cuentas rusas intentan "silenciar" a los ucranianos
Por otro lado, Facebook ha eliminado recientemente una red de cuentas rusas que intentaban silenciar a los ucranianos denunciando "violaciones ficticias de las políticas."
"En virtud de nuestra política de Comportamiento Inauténtico contra las denuncias masivas, hemos eliminado una red en Rusia por abusar de nuestras herramientas de denuncia para denunciar repetidamente a personas en Ucrania y en Rusia por violaciones ficticias de las políticas de Facebook en un intento de silenciarlas", dijo Meta.
Meta, en su informe trimestral, explica que la red eliminada incluía 200 cuentas operadas desde Rusia. El informe señala que "Los individuos que estaban detrás de ella se coordinaban para denunciar falsamente a las personas por diversas infracciones, entre ellas la incitación al odio, el acoso y la falta de autenticidad, en un intento de que ellos y sus publicaciones fueran eliminados de Facebook. La mayoría de estas denuncias ficticias se centraron en personas de Ucrania y Rusia, pero la red también denunció a usuarios de Israel, Estados Unidos y Polonia".
Las cuentas ahora retiradas "se apoyaban en cuentas falsas, auténticas y duplicadas para presentar cientos -en algunos casos, miles- de denuncias contra sus objetivos a través de nuestras herramientas de denuncia de abusos". La actividad del grupo aumentó a mediados de febrero, antes de la invasión rusa de Ucrania.
"Probablemente en un esfuerzo por evadir la detección, las personas detrás de esta actividad coordinaron el envío de denuncias masivas en su grupo de temática culinaria, que tenía alrededor de 50 miembros cuando lo retiramos", dijo el informe. Facebook dijo que encontró la red en una "investigación interna sobre la sospecha de comportamiento inauténtico en la región", y que muchas de las cuentas "fueron detectadas y desactivadas por nuestros sistemas automatizados".
"Personas ficticias" generadas por la IA
Meta eliminó anteriormente una red más pequeña de cuentas rusas de Facebook e Instagram que utilizaban tácticas similares para dirigirse a los usuarios de Ucrania.
"Esta red utilizaba cuentas falsas y operaba con personas y marcas ficticias en Internet -incluyendo Facebook, Instagram, Twitter, YouTube, Telegram, Odnoklassniki y VK- para parecer más auténtica en un aparente intento de resistir el escrutinio de las plataformas y los investigadores", dice el informe trimestral del pasado jueves. "Estos personajes ficticios utilizaban imágenes de perfil generadas probablemente mediante técnicas de inteligencia artificial como las redes generativas adversariales (GAN). Desmontamos esta operación, bloqueamos sus dominios para que no se compartieran en nuestra plataforma y compartimos la información con otras plataformas tecnológicas, investigadores y gobiernos."
También en el informe trimestral de Meta se dice que se desarticuló un grupo "vinculado al KGB bielorruso que repentinamente comenzó a publicar en polaco e inglés sobre la rendición de las tropas ucranianas sin luchar y la huida de los líderes de la nación el 24 de febrero, el día en que Rusia comenzó la guerra". KGB (Comité para la Seguridad del Estado).
Además, Facebook dijo que "detectó y derribó un intento de regreso por parte de una red que eliminamos en diciembre de 2020 y que estaba vinculada a individuos asociados con la actividad pasada de la Agencia Rusa de Investigación en Internet (IRA)." Según Facebook, desde la invasión rusa de Ucrania, el sitio web de este grupo -que se hace pasar por "una ONG centrada en los derechos civiles en Occidente"- ha publicado "artículos en los que se culpaba del ataque de Rusia a la OTAN y a Occidente y se acusaba a las fuerzas ucranianas de atacar a los civiles".
Para el futuro, Meta está "revisando medidas adicionales para hacer frente a la desinformación y los bulos procedentes de las páginas del gobierno ruso", dijo el presidente de Asuntos Globales, Nick Clegg, a los periodistas, según la agencia de noticias Reuters.