La empresa de Polis Trachonitis, Hermetica Digital Ltd, ha sido implicada por investigadores estadounidenses en un ciberataque de destrucción de datos que afectó a cientos de ordenadores en Ucrania, Lituania y Letonia.
Descubierto el miércoles por la noche, apenas unas horas antes de que las tropas rusas entraran en Ucrania, el ciberataque fue ampliamente considerado como la salva inicial de la invasión de Moscú.
El malware había sido firmado con un certificado digital con el nombre de Hermetica Digital, según los investigadores, algunos de los cuales han empezado a llamar al código malicioso "HermeticWiper" debido a la conexión.
Trachonitis dijo a Reuters que no tenía nada que ver con el ataque. Dijo que nunca buscó un certificado digital y que no tenía ni idea de que se hubiera emitido uno para su empresa.
Dijo que su papel en la industria de los videojuegos es sólo el de escribir el texto de los juegos que otros elaboran.
"Ni siquiera escribo el código, sino que escribo historias", dijo, y añadió que no era consciente de la conexión entre su firma y la invasión rusa hasta que se lo dijo un periodista de Reuters el jueves por la mañana.
"Sólo soy un tipo chipriota... No tengo ningún vínculo con Rusia".
El alcance de los daños causados por el ataque de malware no estaba claro, pero la empresa de ciberseguridad ESET dijo que el código malicioso se había encontrado instalado en "cientos de máquinas".
Los líderes occidentales han advertido durante meses que Rusia podría realizar ciberataques destructivos contra Ucrania antes de una invasión.
La semana pasada, Gran Bretaña y Estados Unidos dijeron que piratas informáticos militares rusos estaban detrás de una serie de ataques de denegación de servicio distribuidos (DDoS) que dejaron fuera de servicio brevemente a sitios web bancarios y gubernamentales ucranianos.
CERTIFICADO DIGITAL
Los ciberespías roban habitualmente la identidad de desconocidos para alquilar espacio en un servidor o registrar sitios web maliciosos.
El certificado digital de Hermetica fue emitido en abril de 2021, pero la marca de tiempo del propio código malicioso era del 28 de diciembre de 2021.
Los investigadores de ESET dijeron en una entrada de blog que esas fechas sugerían que "el ataque podría haber estado en marcha durante algún tiempo".
Si, como suponen ampliamente los expertos en ciberseguridad y los funcionarios de defensa de EE.UU., los ataques fueron llevados a cabo por los rusos, entonces las marcas de tiempo son puntos de datos potencialmente significativos para los observadores que esperan entender cuándo se elaboró el plan para la invasión de Ucrania.
El jefe de investigación de amenazas de ESET, Jean-Ian Boutin, dijo a Reuters que había varias formas en las que un actor malicioso podría obtener fraudulentamente un certificado de firma de código.
"Obviamente, pueden obtenerlo ellos mismos, pero también pueden comprarlo en el mercado negro", dijo Boutin.
"Por lo tanto, es posible que la operación se remonte a más tiempo del que conocíamos, pero también es posible que el actor de la amenaza haya adquirido este certificado de firma de código recientemente, sólo para esta campaña".
Ben Read, director de análisis de ciberespionaje en Mandiant, dijo que era posible que un grupo pudiera "hacerse pasar por una empresa en las comunicaciones con una empresa proveedora de certificados digitales y conseguir que se le emitiera fraudulentamente un certificado legítimo".
La empresa de ciberseguridad Symantec dijo que organizaciones de los sectores financiero, de defensa, de aviación y de servicios informáticos habían sido blanco del ataque del miércoles. DigiCert, la empresa que emitió el certificado digital, no respondió inmediatamente a una solicitud de comentarios.
Juan-Andrés Guerrero-Saade, investigador de ciberseguridad de la firma de seguridad digital SentinelOne, dijo que el propósito del ataque era claro: "Esto estaba destinado a dañar, inutilizar, señalar y causar estragos".
