1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Del Cibercrimen Saul Goodman al GRU ruso

Del Cibercrimen Saul Goodman al GRU ruso

En 2021, el exclusivo foro ruso sobre cibercrimen Mazafaka fue hackeado. La base de datos de usuarios filtrada muestra que uno de los fundadores del foro era un abogado que asesoraba a los principales piratas informáticos de Rusia sobre los riesgos legales de su trabajo y qué hacer si los atrapaban. Una revisión de las identidades de hackers de este usuario muestra que durante su tiempo en los foros se desempeñó como oficial en las fuerzas especiales de la GRU, la agencia de inteligencia militar extranjera de la Federación Rusa.

Lanzada en 2001 bajo el lema "Terrorismo en red", Mazafaka evolucionaría hasta convertirse en una de las comunidades de delitos cibernéticos en ruso más vigiladas. La lista de miembros del foro incluye Quién es Quién de los principales ciberdelincuentes rusos, y contó con subforos para una amplia gama de especialidades de ciberdelitos, incluidos malware, spam, codificación y robo de identidad.

Una representación de la base de datos Mazafaka filtrada.

En casi cualquier fuga de base de datos, las primeras cuentas enumeradas suelen ser los administradores y los primeros miembros principales. Pero la información del usuario de Mazafaka publicada en línea no era un archivo de base de datos per se, y fue claramente editado, redactado y reestructurado por quien lo publicó. Como resultado, puede ser difícil saber qué miembros son los primeros usuarios.

Se sabe que el Mazafaka original fue lanzado por un hacker usando el apodo "Acosador."Sin embargo, la identificación de usuario (no administrador) con el número más bajo en la base de datos de Mazafaka pertenece a otra persona que usó el identificador "Djamix, "y la dirección de correo electrónico djamix @ mazafaka[.] ru.

Desde el inicio del foro hasta alrededor de 2008, Djamix fue uno de sus colaboradores más activos y elocuentes. Djamix les dijo a los miembros del foro que era abogado, y casi todas sus publicaciones incluían análisis legales de varios casos públicos relacionados con piratas informáticos arrestados y acusados de delitos cibernéticos en Rusia y en el extranjero.

"Esconderse con parámetros puramente técnicos no ayudará en un asunto serio", aconsejó Djamix a los miembros de Maza en septiembre de 2007. "Para ESCAPAR de la ley, necesitas CONOCER la ley. Esto es lo más importante. Las capacidades técnicas no pueden superar la inteligencia y la astucia.”

El propio Stalker le dio crédito a Djamix por mantener a Mazafaka en línea durante tantos años. En una publicación retrospectiva publicado en Livejournal en 2014, titulado "Mazafaka, desde la concepción hasta nuestros días", Stalker dijo que Djamix se había convertido en un miembro central de la comunidad.

"Este tipo está en todas partes", dijo Stalker sobre Djamix. "No hay nada en [Mazafaka] en lo que no participe. Para mí, él es un estímulo irritante y gracias a él, Maza sigue vivo. ¡Nuestra fuerza de movilización!”

Djamix le dijo a otros habitantes del foro que era un abogado con licencia que podía ser contratado para consultas remotas o en persona, y sus publicaciones en Mazafaka y otras juntas rusas muestran que varios piratas informáticos que enfrentan riesgos legales probablemente aceptaron esta oferta.

"Tengo derecho a representar sus intereses en los tribunales", dijo Djamix en el foro de delitos cibernéticos en ruso Verificado en enero. 2011. "De forma remota (en forma de apoyo y consultas constantes), o en persona, esto se discute por separado. Así como el costo de mis servicios.”

¿QUIÉN ES DJAMIX?

Una búsqueda en djamix @ mazafaka[.] ru en DomainTools.com revela que esta dirección se ha utilizado para registrar al menos 10 nombres de dominio desde 2008. Estos incluyen varios sitios web sobre la vida en y alrededor de Sochi, Rusia, sede de los Juegos Olímpicos de Invierno de 2014, así como una ciudad costera cercana llamada Adler. Todos esos sitios dicen que estaban registrados en un Aleksei Safronov de Sochi, que también enumera a Adler como ciudad natal.

El servicio de seguimiento de infracciones Inteligencia Constella encuentra que el número de teléfono asociado con esos dominios, +7.9676442212, está vinculado a una cuenta de Facebook para un Aleksei Valerievich Safronov de Sochi. El perfil de Facebook del Sr. Safronov, que se actualizó por última vez en octubre de 2022, dice que su número de mensajería instantánea ICQ es 53765. Este es el mismo número ICQ asignado a Djamix en la base de datos de usuarios de Mazafaka.

La cuenta de Facebook de Aleksey Safronov.

Una cuenta "Djamix" en el foro privetsochi[.] ru ("Hola Sochi") dice que este usuario nació el oct. 2, 1970, y que su sitio web es uposter[.] ru. El lema de este sitio de noticias en ruso es "Creamos Comunicación", y se centra en gran medida en noticias sobre Sochi, Adler, Rusia y la guerra en Ucrania, con una fuerte inclinación pro Kremlin.

El perfil de Facebook de Safronov también da su nombre de usuario de Skype como "Djamixadler", e incluye docenas de fotos de él vestido con uniforme militar junto con un regimiento de soldados desplegados en áreas bastante remotas de Rusia. Algunas de esas fotos datan de 2008.

En varias de las imágenes, podemos ver un parche en el brazo de la chaqueta de Safronov que lleva el logo del Spetsnaz GRU, una unidad de fuerzas especiales del ejército ruso. Según un informe de 2020 desde el Servicio de Investigación del Congreso, el GRU opera como una agencia de inteligencia, recopilando inteligencia humana, cibernética y de señales, y como una organización militar responsable del reconocimiento del campo de batalla y la operación de las unidades de comando militar Spetsnaz de Rusia.

El Sr. Safronov publicó esta imagen de sí mismo en Facebook en 2016. La insignia del GRU se puede ver en su manga.

"En los últimos años, los informes han vinculado al GRU con algunas de las operaciones de inteligencia pública y más agresivas de Rusia", explica el informe de CRS. "Según se informa, el GRU desempeñó un papel clave en la ocupación rusa de la región ucraniana de Crimea y la invasión del este de Ucrania, el intento de asesinato del exoficial de inteligencia ruso Sergei Skripal en el Reino Unido, la interferencia en las elecciones presidenciales estadounidenses de 2016, las operaciones de desinformación y propaganda y algunos de los ciberataques más dañinos del mundo.”

Según el medio de noticias de investigación centrado en Rusia Meduza, en 2014, el Ministerio de Defensa ruso creó sus "tropas de operación de información" para actuar en " enfrentamientos cibernéticos con posibles adversarios.”

"Más tarde, fuentes del Ministerio de Defensa explicaron que estas nuevas tropas estaban destinadas a 'interrumpir las redes de información del potencial adversario'", Meduza reportado en 2018. "Según los informes, los reclutadores buscaron 'hackers que han tenido problemas con la ley.'”

El Sr. Safronov no respondió a múltiples solicitudes de comentarios. A tratado de 2018 escrito por Aleksei Valerievich Safronov titulado "Cien años de Inteligencia Militar del GRU" explica el significado del murciélago en el sello del GRU.

"De una forma u otra, el murciélago es un emblema que une a todos los oficiales de inteligencia activos y retirados; es un símbolo de unidad y exclusividad", escribió Safronov. "Y, en general, no importa de quién estemos hablando: un agente secreto del GRU en algún lugar del ejército o un francotirador en cualquiera de las brigadas de las fuerzas especiales. Todos hicieron y están haciendo una cosa muy importante y responsable.”

No está claro qué papel juega o jugó el Sr. Safronov en el GRU, pero parece probable que la agencia de inteligencia militar haya explotado sus considerables habilidades técnicas, conocimientos y conexiones en los foros rusos sobre delitos cibernéticos.

Buscando en el domain uposter de Safronov[.] ru en Constella Intelligence revela que este dominio se usó en 2022 para registrar una cuenta en un popular foro de discusión en español dedicado a ayudar a los solicitantes a prepararse para una carrera en el Guardia Civil, una de las dos policías nacionales de España. Pivotar sobre esa IP rusa en Constella muestra que se crearon otras tres cuentas en el mismo foro de usuarios en español alrededor de la misma fecha.

Mark Rasch, un ex fiscal de delitos cibernéticos para el Departamento de Justicia de los EE. UU., dijo que siempre ha habido una estrecha relación entre el GRU y la comunidad hacker rusa. Rasch señaló que a principios de la década de 2000, el GRU solicitaba piratas informáticos con las habilidades necesarias para piratear bancos estadounidenses con el fin de obtener fondos para ayudar a financiar la guerra de Rusia en Chechenia.

"El tipo está fuertemente enganchado a la comunidad cibernética rusa, y eso es útil para los servicios de inteligencia", dijo Rasch. "Podría haber estado infiltrándose en la comunidad para monitorearla en busca del GRU. O podría ser simplemente un tipo con uniforme militar.”



>>Más