Os hackers rusos de Noname atacan a Xunta e os concellos de Vigo, Lugo, Santiago e A Coruña

España sofre desde hai unhas semanas unha escalada de ciberataques vinculada ás tensións xeopolíticas ao redor da invasión de Rusia a Ucraína. 

En apenas unha semana, entre o 26 de febreiro e o 4 de marzo, os incidentes cibernéticos disparáronse un 750%, segundo os datos recompilados pola consultora especializada HackManac. Entre os brancos desta ofensiva atópanse institucións crave de Galicia, que non escaparon á furia dos hackers, incluída a Xunta.

NoName057, o principal artífice dos cibertaques rusos a España

O grupo hacktivista prorruso NoName057 erixiuse como o actor máis destacado nesta avalancha de ataques contra España. En tan só tres días, entre o 2 e o 4 de marzo, este colectivo levou a cabo máis de vinte incursións dixitais, unha cifra que se duplicou no marco da súa campaña coñecida como ‘OpSpain’.

Este grupo, aliñado cos intereses da Federación Rusa desde xullo de 2022, utiliza como arma principal os ataques de denegación de servizo distribuído (DDoS), deseñados para colapsar sitios web e sistemas mediante un tráfico masivo de datos. Son ataques daniños porque poden tombar portais e servidores, aínda que non roubar ou acceder a datos confidenciais.
 

As ofensivas de NoName057 xestionáronse historicamente a través de canles en Telegram, aínda que estes foron eliminados recentemente. Antes de cada ataque, o colectivo adoitaba anunciar os seus obxectivos en devandita plataforma, un patrón que contribuíu á súa notoriedade desde o inicio da invasión rusa a Ucraína en 2022. O seu proxecto ‘DDoSia’ busca desestabilizar a países que apoian a Ucraína, especialmente membros da OTAN, atacando entidades gobernamentais, empresas financeiras e centros de transporte.

Esta campaña global centrouse en España nas últimas semanas, despois da Moncloa anunciase un novo paquete de axuda financeira a Kiev.

O pasado venres, NoName057 golpeou varios concellos galegos, entre eles Santiago de Compostela, Vigo e ACoruña, ademais doutras institucións locais. A serie de ataques tamén afectou a outros concellos de España, como os  de Mérida e Benavente, cuxa webs foi capaz de tombar.

A primeira onda, iniciada a finais de febreiro, xa puxera no punto de mira a tres gobernos autonómicos, incluído o de Galicia, xunto aos de Asturias e Canarias.  

Non é a primeira vez que NoName pon no seu punto de vista á Xunta. Segundo un informe da Axencia Vasca de Ciberseguridad, Cyberzaintza, o colectivo atacou xunta.gal dúas veces en outubro de 2023. 

Os ataques enmarcáronse nunha ofensiva que buscaba, en teoría, apoiar aos bombeiros comarcais de Galicia, que por entón chegaron a ser foco da atención de televisións internacionais polos seus choques coa Policía durante as protestas en demanda da súa estabililzación.

En febreiro de 2024 logrou tombar a páxina do Parlamento de Galicia como unha campaña de suposto apoio aos agricultores españois.

En resposta ás consultas de Galiciapress sobre os ataques recentes, a Xunta  de Galicia optou pola cautela. Fontes oficiais explicaron que, por motivos de seguridade, non se ofrecen detalles específicos sobre os ataques salvo que sexan de relevancia pública ou afecten significativamente aos servizos. Segundo a administración autonómica, os intentos máis habituais buscan roubar datos sensibles, bloquear sistemas ou explotar vulnerabilidades, e enmárcanse nunha dinámica recorrente que, até agora, non causou danos graves na rexión.

Os concellos de Vigo, Santiago e A Coruña tamén foron contactados por esta redacción, sen recibir resposta por agora. O Concello de Vigo si confirmou a Atlántico  que a súa web municipal recibiu dous ataques o 7 de marzo.

A nivel nacional, os ataques das últimas semanas foron dirixidos entre outros a organismos como A Moncloa, a Casa Real, o Ministerio do Interior, o Estado Maior da Defensa, o Centro Criptológico Nacional, o Departamento de Seguridade Nacional e o Exército de Terra.

Un desafío constante para a ciberseguridad

A Xunta destacou a robustez dos seus defensas dixitais, afirmando que en 2024 as súas plataformas de seguridade perimetral neutralizaron preto de 237 millóns de intentos de ataque, un 42% máis que os 166 millóns rexistrados en 2023. 

Alguén paga con criptomonedas aos que se sumen aos ataques

A pesar das melloras en en ciberseguridad, os expertos advirten que a ameaza de NoName057(16) segue evolucionando. En novembro de 2023, o grupo actualizou a súa ferramenta DDoS para ampliar a súa compatibilidade con distintos sistemas operativos, o que, xunto á súa popularidade, reforza a súa capacidade ofensiva.

Segundo describe a Cyberzaintza “os voluntarios ademais poden rexistrar no bot de Telegram utilizando o seu número de identificación e unha billetera criptográfica para optar a ‘premios’ ou ‘recompensas’ en función do número total de ataques que realicen todos os voluntarios activos nun día determinado”. 

Eses voluntarios reciben pagos en función do seu éxito mediante criptomonedas como Ethereum, Bitcoin ou Tether. En marzo de 2023, o grupo publicou que pagaría 80.000 rublos -uns 1.000 euros- ao voluntario con máis servidores tombados. Antes de lanzar os ataques, os líderes analizan os portais obxectivos. Buscan, por exemplo, as consultas que provoquen máis carga nos servidores para despois ordenar unha avalancha de peticións xusto contra esas funcionalidades.
 

O grupo céntrase principalmente en atacar sitios web de Ucraína, así como de países membros da OTAN e da Unión Europea.  Ucraína recibe ataques de forma constante e o grupo realiza roldas de ofensivas por países en función da actualidade diplomática relacionada coa guerra.

Non todos os voluntarios son rusos. En setembro, a Garda Civil  apresou a tres españois pola súa presunta participación en ciberataques de denegación de servizos contra institucións públicas e sectores estratéxicos de España e outros países da OTAN organizados polo grupo hacktivista NoName057(16). 

No seu Informe de Cibercriminalidad de 2023, o Ministerio do Interior xa sinalaba que “entre os incidentes máis relevantes destacan as campañas de Denegación Distribuída de Servizo (DDoS) levadas a cabo polo actor prorruso NoName057(16) con afectación en operadores de servizos esenciais de diferentes sectores estratéxicos, motivado polo escenario xeopolítico actual”.