Los ciberataques relacionados con SolarWinds representan un grave riesgo para el gobierno y el sector privado, dice CISA


Según los informes, los ataques han afectado al Departamento de Energía de EE. UU. Y a la Comisión Reguladora de Energía Federal, así como a otras agencias y empresas vitales de todo el mundo.

Violación de seguridad, alerta de pirateo del sistema con un icono rojo de candado roto que muestra datos no seguros bajo ciberataque, acceso vulnerable, contraseña comprometida, infección de virus, red de Internet con código binario

Imagen: Getty Pictures / iStockphoto

Los piratas informáticos patrocinados por el estado que explotaron un agujero de seguridad en una herramienta de monitoreo de SolarWinds para infiltrarse en redes gubernamentales y comerciales aparentemente han dejado una larga lista de víctimas a su paso.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

En un alerta publicada el jueves, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dijo que está al tanto de los compromisos que se remontan hasta marzo de 2020 por parte de un actor de Amenaza Persistente Avanzada (APT) contra agencias gubernamentales de EE. UU. y otras entidades.

Al afirmar que esta amenaza «representa un riesgo grave» para los gobiernos federal, estatal y neighborhood, así como para los proveedores de infraestructura crítica y el sector privado, CISA ve la eliminación de los atacantes de las redes comprometidas como una tarea altamente compleja y desafiante.

La firma de seguridad FireEye, que a su vez fue víctima de un ataque que culpó a un estado-nación extranjero, informó que los atacantes pudieron obtener acceso a las víctimas ocultando códigos maliciosos en las actualizaciones de la plataforma de monitoreo de redes SolarWinds Orion en lo que se conoce. como un compromiso de la cadena de suministro. El program Orion es un producto de uso común entre agencias gubernamentales, compañías Fortune 500 y otras organizaciones en los EE. UU. Y en todo el mundo.

Como resultado de las infracciones, los piratas informáticos pudieron supervisar el tráfico de correo electrónico interno en los departamentos del Tesoro y Comercio de Estados Unidos, así como en otras agencias, según Reuters. FireEye informó que las víctimas también incluyen empresas gubernamentales, de consultoría, tecnología y telecomunicaciones, así como otras en América del Norte, Europa, Asia y Oriente Medio. Ahora parece que los ataques han afectado incluso a más entidades desde finales de 2019.

El viernes, el Departamento de Energía de EE. UU. Informó que fue blanco de un incidente cibernético relacionado con la vulnerabilidad SolarWinds, asunto que se está investigando actualmente. La preocupación aquí es si el incidente también afectó a la sub-agencia del DOE, la Administración Nacional de Seguridad Nuclear (NNSA), que administra el arsenal de armas nucleares de Estados Unidos.

En su declaración, el DOE dijo que el malware se aisló solo en su pink comercial y no afectó las funciones de seguridad del departamento ni las de la NNSA. Además, cualquier software que se identificó como vulnerable se desconectó de la pink del DOE.

Pero las infracciones y la actividad de pink sospechosa han afectado a otras agencias críticas también, incluyendo el Comisión Federal de Regulación de Energía (FERC), los laboratorios nacionales de Sandia y Los Alamos en Nuevo México y Washington, la Oficina de Transporte Seguro en NNSA y la Oficina de Campo de Richland del DOE, informó Politico el jueves.

Entre estos, la FERC supuestamente sufrió más daños que las otras agencias, aunque los funcionarios se negaron a dar más detalles. La FERC supervisa la confiabilidad de la purple de energía eléctrica de la nación, siempre un objetivo tentador para los ataques cibernéticos extranjeros.

Sin embargo, las brechas se remontan aún más atrás y han empleado formas inteligentes de frustrar las defensas de seguridad habituales. El lunes, el proveedor de ciberseguridad Volexity dijo que podía vincular los recientes ciberataques que explotaban el application SolarWinds con múltiples incidentes desde finales de 2019 y 2020 contra un imagine tank estadounidense. Doblando al ciberatacante Dark Halo, Volexity dijo que encontró tres incidentes separados, todos diseñados para obtener los correos electrónicos de individuos específicos dentro del grupo de expertos.

En un incidente, se descubrió que el actor de la amenaza accedía a la cuenta de correo electrónico de un usuario a través de Outlook de Microsoft en la internet. Aunque el buzón de correo de destino estaba protegido por autenticación multifactor, el atacante pudo eludir la seguridad de MFA mediante el uso de una cookie especial que otorgaba acceso a la cuenta solo con un nombre de usuario y contraseña.

Las agencias federales que han sido blanco de las infracciones o las están investigando se han negado a nombrar el estado-nación específico que se cree responsable de los ataques. Sin embargo, varias fuentes han señalado con el dedo a Rusia, específicamente a un grupo de piratas informáticos rusos llamados APT29 o Cozy Bear, que forman parte del servicio de inteligencia exterior SVR de Rusia. Los representantes de Rusia han negado cualquier culpabilidad en los ataques.

«Varios medios de comunicación han informado que APT29, un grupo de piratería patrocinado por el estado ruso también conocido como Cozy Bear, estaba detrás de la campaña SolarWinds», dijo a TechRepublic Lior Div, director ejecutivo de la firma de seguridad Cybereason.

«Esta no es la primera vez que vemos a los rusos usando este método», agregó Div. «Para un ataque a la cadena de suministro de esta naturaleza, la cantidad de mano de obra y el tiempo necesarios para prepararse y la precisión requerida por los actores de la amenaza lo hacen muy difícil de lograr. Pero el ataque también demuestra lo que es posible cuando los actores de la amenaza obtienen acceso a los proveedores principales cadena de suministro.»

Los ataques recientes también muestran un talento para el momento adecuado, ya que Estados Unidos ha estado ocupado y preocupado con las elecciones, la pandemia de coronavirus y la planificación de la vacuna COVID-19.

«El período de transición de una administración a la siguiente es siempre un momento vulnerable para Estados Unidos», dijo Div. «Hemos estado atentos a las elecciones y trabajando para combatir las campañas de desinformación vinculadas a la investigación de COVID y la difusión de vacunas, las cuales demandan una gran atención y recursos en lo que respecta a la seguridad. Adversarios como Rusia buscan este tipo de inestabilidad y distracción para explotar en su beneficio «.

En este punto, múltiples agencias y empresas se han sumado al esfuerzo para intentar detectar y combatir las brechas y exploits. El miércoles, el FBI, CISA y la Oficina del Director de Inteligencia Nacional (ODNI) anunciaron la formación de un grupo de coordinación cibernético unificado (UCG) para coordinar las respuestas del gobierno al incidente.

Después de identificar el malware con el nombre Sunburst, FireEye trabajó con GoDaddy y Microsoft para crear un interruptor de apagado se utiliza para desactivar y deshabilitar infecciones nuevas y anteriores. Microsoft, que encontró el código malicioso de SolarWinds en su propio entorno, ha tomado varias acciones adicionales, que incluyen eliminar los certificados digitales utilizado por los archivos troyanos, actualizar su computer software Defender Antivirus para bloquear el código malicioso conocido de SolarWinds y cambiar la respuesta predeterminada en Defender a poner en cuarentena automáticamente el malware si se descubre.

A pesar de los esfuerzos del gobierno federal y empresas como Microsoft y FireEye, la amenaza continúa y sigue siendo motivo de alarma. En su aviso, CISA dijo que el atacante es paciente, cuenta con buenos recursos y está concentrado. El compromiso de la cadena de suministro de SolarWinds Orion no es el único vector de infección utilizado por este actor de amenazas. Además, no todas las organizaciones afectadas por el compromiso de SolarWinds han sido atacadas por el atacante con acciones adicionales.

CISA también dijo que el adversario ha demostrado una capacidad para explotar las cadenas de suministro de program junto con un sólido conocimiento de las redes de Windows. Como tal, es probable que el atacante tenga más vectores de acceso, así como tácticas, técnicas y procedimientos (TTP) aún por descubrir.

«Esto es realmente solo el comienzo», dijo Brandon Hoffman, director de seguridad de la información de NetEnrich. «Tan pronto como pensemos que no puede empeorar, se encontrarán más pruebas. El gobierno debe realmente intensificar y prepararse para las consecuencias de toda esta pérdida de datos. Afirmar que no sabemos no satisfará al público sobre el estado de la seguridad nacional. Debe haber cierto nivel de transparencia sobre lo que se tomó y cómo planeamos responder en función de todas las posibles formas en que se pueden usar estos datos «.

Ver también



Enlace a la noticia original