Más sobre el ciberataque en EE.UU.

Se ha informado que las consecuencias del ciberataque "serán mucho más difíciles y requerirán más tiempo de remediar de lo que se suponía originalmente, ya que los atacantes probablemente encontraron más formas de ingresar a las redes federales" que no solo a través del producto SolarWinds Orion, y las miradas se han dirigido al personal de TI y respuesta, según el informe de la agencia de ciberseguridad líder del gobierno".

Visto en Youtube, vía PBS NewsHour. Se puede configurar traducción automática de subtitulos

La Agencia de Seguridad de Infraestructura y Ciberseguridad, o CISA, emitió una alerta el jueves a través del Equipo de Preparación para Emergencias Informáticas de EE. UU., O US-CERT, que detalla lo que la agencia sabe actualmente sobre el ataque. La alerta señala al menos otro vector de ataque más allá de los productos SolarWinds e identifica al personal de seguridad y de TI como objetivos principales de la campaña de piratería.

"CISA ha determinado que esta amenaza representa un grave riesgo para el gobierno federal y los gobiernos estatales, locales, tribales y territoriales, así como para las entidades de infraestructura crítica y otras organizaciones del sector privado", señala la alerta.

Si bien la alerta no menciona a los sospechosos, los funcionarios ofrecieron una mirada a lo que se sabe sobre las técnicas y motivaciones de los atacantes.

“Los objetivos iniciales del adversario, tal como se entiende hoy, parecen ser recopilar información de los entornos de las víctimas”, afirma la alerta. "CISA ha observado en su trabajo de respuesta a incidentes adversarios dirigidos a cuentas de correo electrónico que pertenecen al personal clave, incluido el personal de TI y de respuesta a incidentes".

Entre la profundidad potencial de las intrusiones, los vectores de ataque adicionales aún desconocidos y el enfoque en el correo electrónico del personal de seguridad y de TI, los funcionarios de CISA advirtieron a las organizaciones que mantengan una seguridad adicional en las discusiones de remediación.

"Debido a la naturaleza de este patrón de actividad del adversario, y la orientación del personal clave, el personal de respuesta a incidentes y las cuentas de correo electrónico de TI, la discusión de los hallazgos y las mitigaciones debe considerarse muy sensible y debe estar protegida por medidas de seguridad operativa", estados de alerta. "Es necesario desarrollar y socializar un plan de seguridad operacional, a través de comunicaciones fuera de banda, para garantizar que todo el personal esté al tanto de las advertencias de manejo aplicables".

Sobre el / los actores del ciberataque, se señala "éste adversario ha demostrado su capacidad para explotar las cadenas de suministro de software y ha demostrado un conocimiento significativo de las redes de Windows". "Es probable que el adversario tenga vectores de acceso inicial y tácticas, técnicas y procedimientos adicionales que aún no se han descubierto".

Fuentes:

• CISA: SolarWinds Is Not the Only Way Hackers Got Into Networks. "The agency also warned that getting attackers out of networks will be complex—especially because they are monitoring IT and cybersecurity employees’ emails". By Aaron Boyd, Senior Editor, Nextgov / Cybersecurity.
• Alert (AA20-352A). Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations. "The Cybersecurity and Infrastructure Security Agency (CISA) is aware of compromises of U.S. government agencies, critical infrastructure entities, and private sector organizations by an advanced persistent threat (APT) actor beginning in at least March 2020". By Cybersecurity and Infrastructure Security Agency (CISA).

Posts relacionados:

• En EE.UU. evalúan el alcance del ciberataque. 15/12/2020.
• Un grupo crackers accede a datos de las agencias federales estadounidenses. 14/12/2020.

Notas relacionadas:

• SolarWinds sufre un ataque de cadena de suministro. "Este ataque se encuentra vinculado al que ya sufrió la semana pasada FireEye, y así han dejado constancia mediante el post publicado el pasado domingo". Por Rafael Fuentes Guerrero, publicado por Una al día/ Hispasec
• CISA Orders Federal Agencies to Turn Off SolarWinds Products. A critical flaw in software used throughout government was reportedly used to breach a major security company and at least two federal agencies. Por  , publicado por Nextgov/ Cybersecurity.
• Espías del gobierno ruso están detrás de una amplia campaña de piratería informática contra agencias de EEUU. "El FBI está investigando la campaña una red de hackers que trabaja para el servicio de inteligencia exterior ruso. El grupo, conocido como APT29 o Cozy Bear, también vulneró una de sus principales empresas cibernéticas del mundo". Por Ellen Nakashima, publicado por Infobae / The Washinton Post y Reuters.

___________________

NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.