En EE.UU. evalúan el alcance del ciberataque

El alcance del hackeo ruso se vuelve claro: varias agencias estadounidenses se vieron afectadas.

El Pentágono, las agencias de inteligencia, los laboratorios nucleares y las empresas de Fortune 500 utilizan software que se descubrió que había sido comprometido por piratas informáticos rusos. Todavía se está evaluando el barrido de datos robados.

Por David E. Sanger, Nicole Perlroth y Eric Schmitt, publicado por  The New York Times Company.

Imagen: Brendan Mcdermid/Reuters. Vista en The New York Times

WASHINGTON - El alcance de un ataque diseñado por una de las principales agencias de inteligencia de Rusia se volvió más claro el lunes, cuando algunos funcionarios de la administración Trump reconocieron que otras agencias federales, el Departamento de Estado, el Departamento de Seguridad Nacional y partes del Pentágono, se habían visto comprometidas. Los investigadores estaban luchando por determinar hasta qué punto el ejército, la comunidad de inteligencia y los laboratorios nucleares se vieron afectados por el ataque altamente sofisticado.

Los funcionarios de Estados Unidos no detectaron el ataque hasta las últimas semanas, y solo cuando una empresa privada de ciberseguridad, FireEye , alertó a la inteligencia estadounidense de que los piratas informáticos habían evadido capas de defensas.

Era evidente que los Departamentos del Tesoro y Comercio, las primeras agencias reportadas como violadas, eran solo parte de una operación mucho más grande cuya sofisticación sorprendió incluso a los expertos que han estado siguiendo un cuarto de siglo de ataques rusos al Pentágono y agencias civiles estadounidenses.

Aproximadamente 18.000 usuarios privados y gubernamentales descargaron una actualización de software contaminada con Rusia, una especie de caballo de Troya, que dio a sus piratas informáticos un punto de apoyo en los sistemas de las víctimas, según SolarWinds, la empresa cuyo software se vio comprometido.

Entre los que utilizan el software SolarWinds se encuentran los Centros para el Control y la Prevención de Enfermedades, el Departamento de Estado, el Departamento de Justicia, partes del Pentágono y varias empresas de servicios públicos. Si bien la presencia del software no es por sí misma evidencia de que cada red se haya visto comprometida y se haya robado información, los investigadores pasaron el lunes tratando de comprender el alcance del daño en lo que podría ser una pérdida significativa de datos estadounidenses para un atacante extranjero.

La Agencia de Seguridad Nacional, la principal organización de inteligencia de EE. UU. Que piratea redes extranjeras y defiende a las agencias de seguridad nacional de los ataques, aparentemente no sabía de la brecha en el software de monitoreo de red creado por SolarWinds hasta que fue notificada la semana pasada por FireEye. La propia NSA utiliza el software SolarWinds.

Dos de las infracciones más vergonzosas se produjeron en el Pentágono y el Departamento de Seguridad Nacional, cuya Agencia de Seguridad de Infraestructura y Ciberseguridad supervisó la exitosa defensa del sistema electoral estadounidense el mes pasado.

Un funcionario del gobierno, que solicitó el anonimato para hablar sobre la investigación, dejó en claro que el Departamento de Seguridad Nacional, que está encargado de proteger a las agencias gubernamentales civiles y al sector privado, fue víctima del complejo ataque. Pero el departamento, que a menudo insta a las empresas a sincerarse con sus clientes cuando sus sistemas son víctimas de ataques exitosos, emitió una declaración oficial confusa que solo decía: “El Departamento de Seguridad Nacional está al tanto de los informes de una violación. Actualmente estamos investigando el asunto ".

Partes del Pentágono también se vieron afectadas por el ataque, dijo un funcionario estadounidense que habló bajo condición de anonimato, quien agregó que aún no estaban seguros de hasta qué punto.

Editors’ Picks

How to Handle Bad Co-Workers of the Anti-Mask and Boyfriend Varieties

A Genius Method for Making Latkes

Here’s Why Vaccinated People Still Need to Wear a Mask

"El DOD está al tanto de los informes y actualmente está evaluando el impacto", dijo Russell Goemaere, portavoz del Pentágono.

Esta fue la segunda vez en los últimos años que las agencias de inteligencia rusas habían perforado los sistemas de correo electrónico del Departamento de Estado. Hace seis años, los funcionarios lucharon para sacar a los piratas informáticos rusos de sus sistemas de correo electrónico no clasificados, a veces cerrando las comunicaciones del Estado con su propio personal en un esfuerzo por purgar el sistema.

Entonces, como ahora, los funcionarios del Departamento de Estado se negaron a reconocer que Rusia había sido responsable. En una entrevista con Breitbart Radio News, el secretario de Estado Mike Pompeo desvió la pregunta con generalidades, diciendo que había “habido un esfuerzo constante de los rusos para intentar ingresar a los servidores estadounidenses, no solo a los de las agencias gubernamentales, sino también a las empresas. Vemos esto con más fuerza en el Partido Comunista de China, y también en los norcoreanos ".

De hecho, son los rusos quienes han sido consistentemente más efectivos, aunque en este caso no estaba claro de qué sistemas del Departamento de Estado habían extraído datos o en qué cantidad. Una portavoz del Departamento de Estado declinó hacer comentarios.

Los investigadores también se centraron en por qué los rusos atacaron a la Administración Nacional de Telecomunicaciones e Información del Departamento de Comercio, que ayuda a determinar la política para problemas relacionados con Internet, incluido el establecimiento de estándares y el bloqueo de importaciones y exportaciones de tecnología que se considera un riesgo para la seguridad nacional. Pero los analistas señalaron que la agencia se ocupa de algunas de las tecnologías comerciales más avanzadas, determinando qué se venderá y qué se negará a los países adversarios.

Casi todas las empresas de Fortune 500, incluido The New York Times, utilizan productos SolarWinds para monitorear sus redes. Lo mismo ocurre con el Laboratorio Nacional de Los Alamos, donde se diseñan las armas nucleares, y los principales contratistas de defensa como Boeing, que se negaron el lunes a discutir el ataque.

Las primeras evaluaciones de las intrusiones, que se cree que son obra del SVR de Rusia, un sucesor de la KGB, sugieren que los piratas informáticos fueron muy selectivos sobre qué víctimas explotaban para obtener más acceso y robo de datos.

Los piratas informáticos integraron su código malicioso en el software Orion creado por SolarWinds, que tiene su sede en Austin, Texas. La compañía dijo que 33,000 de sus 300,000 clientes usan Orion, y solo la mitad de ellos descargaron la maligna actualización rusa. FireEye dijo que a pesar de su acceso generalizado, los piratas informáticos rusos explotaron solo lo que se consideraba los objetivos más valiosos.

"Creemos que la cantidad de personas que realmente se vieron comprometidas fue de docenas", dijo Charles Carmakal, vicepresidente senior de FireEye. "Pero todos eran los objetivos de mayor valor".

La imagen que surgió de las entrevistas con funcionarios corporativos y gubernamentales el lunes cuando intentaban evaluar el alcance del daño fue de un ataque complejo y sofisticado al software utilizado en los sistemas que monitorean la actividad en empresas y agencias gubernamentales.

Después de un cuarto de siglo de ataques al sistema industrial de defensa, muchos de los cuales involucran esfuerzos de fuerza bruta para descifrar contraseñas o mensajes de "spearphishing" para engañar a los destinatarios involuntarios de correo electrónico para que renuncien a sus credenciales, la operación rusa fue diferente. El ataque fue “el día en el que se prepara”, dijo Sarah Bloom Raskin, subsecretaria del Tesoro durante la administración Obama.

Los investigadores dicen que creen que los piratas informáticos rusos utilizaron múltiples puntos de entrada además de la actualización del software Orion comprometida, y que esto puede ser solo el comienzo de lo que encuentran.

Las actualizaciones del software Orion de SolarWinds no son automáticas, señalaron los funcionarios, y a menudo se revisan para garantizar que no desestabilicen los sistemas informáticos existentes.

Los clientes de SolarWinds el lunes todavía estaban tratando de evaluar los efectos del ataque ruso.

Un portavoz del Departamento de Justicia, que utiliza el software SolarWinds, se negó a comentar.

Ari Isaacman Bevacqua, portavoz de The New York Times, dijo que "nuestro equipo de seguridad está al tanto de los desarrollos recientes y está tomando las medidas apropiadas según sea necesario".

Los oficiales militares y de inteligencia se negaron a decir qué tan extendido estaba el uso de Orion en sus organizaciones, o si esos sistemas se habían actualizado con el código infectado que les dio a los piratas un amplio acceso.

Pero a menos que el gobierno estuviera al tanto de la vulnerabilidad en SolarWinds y la mantuviera en secreto, lo que a veces hace para desarrollar armas cibernéticas ofensivas, habría habido pocas razones para no instalar las versiones más actualizadas del software. No hay evidencia de que los funcionarios del gobierno estuvieran ocultando cualquier conocimiento de la falla en el software SolarWinds.

La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió el domingo una directiva de emergencia poco común advirtiendo a las agencias federales que “apaguen” el software SolarWinds. Pero eso solo evita nuevas intrusiones; no erradica a los piratas informáticos rusos que, dijo FireEye, plantaron sus propias "puertas traseras", imitaron a los usuarios legítimos de correo electrónico y engañaron a los sistemas electrónicos que supuestamente aseguran las identidades de los usuarios con las contraseñas correctas y autenticación adicional.

“Un ataque a la cadena de suministro como este es una operación increíblemente costosa: cuanto más lo use, mayor será la probabilidad de que lo atrapen o se queme”, dijo John Hultquist, director de amenazas de FireEye. "Tuvieron la oportunidad de alcanzar una gran cantidad de objetivos, pero también sabían que si llegaban demasiado lejos, perderían su increíble acceso".

Los directores ejecutivos de las mayores empresas de servicios públicos estadounidenses realizaron una llamada urgente el lunes para discutir la posible amenaza del compromiso de SolarWinds para la red eléctrica.

Para la NSA y su director, el general Paul M. Nakasone, quien también dirige el Comando Cibernético de Estados Unidos, el ataque se encuentra entre las mayores crisis de su tiempo en el cargo. Fue incorporado hace casi tres años como uno de los guerreros cibernéticos más experimentados y confiables de la nación, y prometió al Congreso que se aseguraría de que quienes atacaran a Estados Unidos pagaran un precio.

En su audiencia de confirmación declaró que los ciberadversarios de la nación "no nos temen" y actuó rápidamente para aumentar el costo para ellos, profundizando en las redes informáticas extranjeras, organizando ataques a la Agencia de Investigación de Internet de Rusia y enviando disparos de advertencia a través de la proa de conocidos Hackers rusos.

El general Nakasone se centró intensamente en proteger la infraestructura electoral del país, con un éxito considerable en la votación de 2020. Pero ahora parece que tanto las agencias de seguridad civil como las nacionales fueron el objetivo de este truco cuidadosamente diseñado, y tendrá que responder por qué la industria privada, en lugar de las empresas multimillonarias que dirige desde una sala de guerra en Fort Meade, Maryland. fue el primero en dar la alarma.

Los analistas dijeron que era difícil saber qué era peor: que las agencias de inteligencia rusas volvieron a sorprender al gobierno federal, o que cuando era evidente lo que estaba sucediendo, los funcionarios de la Casa Blanca no dijeron nada.

Pero esto está claro: mientras el presidente Trump se quejaba del truco que no lo era --la supuesta manipulación de votos en una elección que había perdido clara y justamente--, guardó silencio sobre el hecho de que los rusos estaban pirateando el edificio de al lado. : el Tesoro de los Estados Unidos.

A corto plazo, las agencias gubernamentales ahora luchan por llegar al fondo de un problema con visibilidad limitada. Al cerrar SolarWinds, un paso que tuvieron que tomar para detener futuras intrusiones, muchas agencias están perdiendo visibilidad en sus propias redes.

"Vuelan a ciegas", dijo Ben Johnson, un ex pirata informático de la NSA que ahora es el director de tecnología de Obsidian, una empresa de seguridad. / Por David E. Sanger, Nicole Perlroth y Eric Schmitt, publicado por  The New York Times Company.

David E. Sanger informó desde Washington y Nicole Perlroth desde Palo Alto, California. Zolan Kanno-Youngs , Alan Rappeport y Eric Schmitt contribuyeron con informes desde Washington.--

Post relacionado:

• Más sobre el ciberataque en EE.UU.. 18/12/2020.
• Un grupo crackers accede a datos de las agencias federales estadounidenses. 14/12/2020.

Notas relacionadas:

• SolarWinds sufre un ataque de cadena de suministro. "Este ataque se encuentra vinculado al que ya sufrió la semana pasada FireEye, y así han dejado constancia mediante el post publicado el pasado domingo". Por Rafael Fuentes Guerrero, publicado por Una al día/ Hispasec
• CISA Orders Federal Agencies to Turn Off SolarWinds Products. A critical flaw in software used throughout government was reportedly used to breach a major security company and at least two federal agencies. Por  , publicado por Nextgov / Cybersecurity.
• Espías del gobierno ruso están detrás de una amplia campaña de piratería informática contra agencias de EEUU. "El FBI está investigando la campaña una red de hackers que trabaja para el servicio de inteligencia exterior ruso. El grupo, conocido como APT29 o Cozy Bear, también vulneró una de sus principales empresas cibernéticas del mundo". Por Ellen Nakashima, publicado por Infobae / The Washinton Post y Reuters.

___________________

NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.