El simposio «Operating in the Future Electromagnetic Environment» (OFEME) del Laboratorio de Ciencia y Tecnología de la Defensa del Reino Unido, celebrado los días 23 y 24 de noviembre, ofreció una visión tentadora de la ciberguerra rusa. El evento, celebrado en Londres y en línea, incluyó una presentación de Duncan McCrory.
El Sr. McCrory, ingeniero y candidato al doctorado en el Kings College de Londres, destacó el uso de una herramienta de ciberataque rusa llamada X-Agent. Esto formaba parte de su presentación más amplia sobre la ciberguerra y la guerra electrónica rusas, y las operaciones de información. El Sr. McCrory dijo que X-Agent era un programa malicioso empleado para infectar ordenadores con el sistema operativo Android que usa la artillería del Ejército ucraniano. Citó pruebas de la empresa de ciberseguridad CrowdStrike de que, X-Agent había sido desplegado por un grupo de ciberespionaje ruso llamado Fancy Bear.
Fancy Bear tiene otros seudónimos, como Pawn Storm, Sofacy Group, Sednit, Tsar Team y Strontium. Estas denominaciones las emplean varias organizaciones de ciberseguridad. Las agencias gubernamentales, incluido el Ministerio de Asuntos Exteriores y de la Commonwealth del Reino Unido, declararon con una confianza media que, Fancy Bear estaba cerca del servicio de inteligencia militar ruso GRU. En Estados Unidos se han hecho valoraciones similares. La investigación del Consejo Especial sobre la interferencia rusa en las elecciones presidenciales de 2016 señaló que Fancy Bear era obra del GRU.
El uso del malware en una función de contrabatería fue identificado por CrowdStrike en 2016. El análisis de CrowdStrike dijo que un oficial de artillería ucraniano había desarrollado una aplicación de software Android legítima llamada Correction-D30. Se trataba de facilitar el control del fuego de los obuses PJSC 2A18/D-30 de 122 mm del ejército ucraniano. El objetivo era reducir el tiempo de puntería de los obuses de varios minutos a menos de 15 segundos.
Se cree que X-Agent ha infectado a Correction-D30 permitiendo el robo de detalles de las comunicaciones y datos de localización. El análisis de CrowdStrike determinó que X-Agent puede haber sido desplegado desde 2013.
Rusia comenzó su intervención en Ucrania un año después. CrowdStrike estima que la infección de los dispositivos Android utilizados por los artilleros ucranianos puede haberse producido a partir de 2014.
No aparece ninguna información de dominio público sobre cómo se insertó X-Agent en estos dispositivos Android, ni se habló de ello en la presentación del Sr. McCrory pero, es casi seguro que se hizo de forma inalámbrica, lo que requeriría un ataque electrónico para inyectar el malware en el dispositivo Android.
Rusia desplegó una miríada de sistemas de guerra electrónica (EW) en el teatro de Ucrania como parte de su intervención. Armada ha descrito ampliamente estos sistemas en artículos anteriores. Los sistemas de guerra electrónica terrestres necesitarían un alcance de línea de visión hacia estos dispositivos para realizar un ataque de este tipo. Como esto podría situar a estas plataformas al alcance de la artillería ucraniana, parecen sistemas de lanzamiento poco probables.
Fuentes del Ejército ucraniano han informado a Armada de que los medios rusos de EW basados en tierra suelen desplegarse lejos de la línea del frente. En su lugar, el sistema EW RB-341V Leer-3 del Centro Tecnológico Especial (STC) del Ejército ruso puede haber sido utilizado para esta tarea.
El RB-341V Leer-3 se compone de tres vehículos aéreos no tripulados (UAV) Orlan-10 del STC equipados con cargas útiles de EW. Fuentes abiertas afirman que estas cargas detectan las emisiones de dispositivos inalámbricos con protocolos GSM (Sistema Global de Comunicaciones Móviles). Las frecuencias GSM se encuentran en bandas de onda de 900 megahercios a 1,9 gigahercios. El Orlan-10 tiene un techo conocido de más de 16.000 pies (5.000 metros). Esto le daría un alcance potencial de hasta 205 millas náuticas (380 kilómetros). Desde cierta distancia, los UAV podrían detectar las transmisiones de los dispositivos Android de los artilleros ucranianos. Entonces podrían infectar estos dispositivos con X-Agent. Una vez infectados, los artilleros rusos podrían aprovechar los datos robados para determinar la posición de la artillería ucraniana y hacer fuego de contrabatería.
Implicaciones
El uso de X-Agent tiene importantes implicaciones. Tradicionalmente, los ejércitos han confiado en el radar de contrabatería o en el reconocimiento aéreo o terrestre para localizar a la artillería enemiga. El uso de malware añade otro método de localización. En resumen, da a los ejércitos y a los artilleros más de qué preocuparse. El control de fuego informatizado ayuda mucho a la artillería y acelera enormemente la respuesta a la petición de fuego. Sin embargo, aunque la Corrección-D30 se consideraba, con razón, un punto fuerte para el ejército ucraniano, paradójicamente se convirtió en una vulnerabilidad.
Todo este asunto subraya gráficamente la importancia del control de las emisiones de la fuerza azul, en el que insistió el Sr. McCrory. También hizo hincapié en la necesidad de formación en entornos electromagnéticos representativos y en el desarrollo de requisitos conjuntos de resiliencia cibernética y electromagnética.
Las cifras recopiladas por Henry Boyd, investigador de defensa y análisis militar del Instituto Internacional de Estudios Estratégicos de Londres, demuestran gráficamente las pérdidas de artillería ucraniana. El Sr. Boyd afirma que Ucrania perdió entre el 15 y el 20 por ciento de su inventario 2A18/D-30 de antes de la guerra. Parece casi seguro que el X-Agent habrá ayudado al Ejército ruso a apuntar a estos cañones y a su personal.
Fte. Armada International (Dr. Thomas Withington)
El Dr. Thomas Withington es editor, comentarista de Defensa, periodista e historiador militar.
