Los atacantes de SolarWinds acecharon durante &#39varios meses&#39 en …



Los principales ejecutivos de FireEye, SolarWinds, Microsoft y CrowdStrike testificaron hoy ante el Comité de Inteligencia del Senado de los EE. UU. Sobre las secuelas, y las investigaciones en curso, de los ataques épicos.

Los atacantes que se infiltraron en la construcción y las actualizaciones del program de SolarWinds Orion habían pasado «varios meses» integrados en la pink de FireEye antes de que la empresa de seguridad los detectara, dijo hoy Kevin Mandia, director ejecutivo de FireEye a un comité del Congreso.

«El atacante no estaba vivo todos los días» en nuestra red, dijo Mandia al Comité de Inteligencia del Senado de los Estados Unidos en respuesta a una pregunta sobre el período de tiempo del ataque en la crimson de FireEye. «Estaban en nuestros sistemas durante tres horas un día, pasaba una semana y un par de horas al día siguiente. No éramos un trabajo de tiempo completo para (ellos) … porque habían entrado en otro 60- más si no 100 organizaciones. Hubo varios días de actividad antes de que los detectamos «.

Mandia, junto con el presidente de Microsoft, Brad Smith, el presidente y director ejecutivo de CrowdStrike, George Kurtz, y el nuevo director normal de SolarWinds, Sudhakar Ramakrishna, testificaron hoy ante el Comité de Inteligencia del Senado de EE. UU. En una audiencia sobre la llamada campaña de ataque de ciberespionaje SolarWinds que dicen funcionarios de inteligencia de EE. UU. Es muy probable que sea obra de los actores del estado-nación ruso.

En el panel de hoy, notoriamente faltaba Amazon World wide web Services (AWS), que declinó la invitación del Senado a testificar, un desaire que pareció irritar a varios senadores del comité. El senador Richard Burr (republicano por Carolina del Norte) señaló que el ataque se llevó a cabo dentro de los EE. UU. Y que algunos nodos secundarios de comando y control se alojaron en la infraestructura de AWS.

Mark Warner, demócrata de Virginia, presidente del comité, señaló que las empresas «que decidieron no participar hasta ahora: les vamos a dar otra oportunidad».

AWS no respondió a una consulta de Dark Looking through para este artículo.

Aún no está claro cuántas otras empresas, incluidas las de software, pueden haber sido blanco de los ataques. Mandia de FireEye notó que los atacantes detrás de la campaña masiva se marcharon con mucha información robada, y volverán.

«Este grupo ha existido durante una década o más» y se dirigen a individuos específicos en el gobierno o trabajan en proyectos gubernamentales, dijo. Tenían un system, «requisitos de recopilación» de datos y estaban enfocados en su misión. Si bien sus herramientas y tácticas de ataque cambiarán, sus objetivos no lo harán, dijo. «Ya se han movido a lo que sea que viene y tenemos que ir a buscarlo. Van a estar siempre presentes y tenemos que jugar a la defensiva … y tenemos que cerrar mejor la brecha de seguridad la próxima vez». «

Mientras tanto, un informe de El Washington Submit dijo hoy que la administración Biden está preparando sanciones contra Rusia por los ataques: un asentimiento que solidificaría los informes iniciales de las agencias de inteligencia de que los ataques «parecían» estar fuera de Rusia. Los proveedores de seguridad FireEye, CrowdStrike y otros han dudado en identificar a Rusia como el perpetrador.

«Es potencialmente una de las infracciones más graves que hemos visto y conocido», dijo Warner. «Fue una exfiltración (de datos), pero podría haber sido exponencialmente peor. Necesitamos reconocer la seriedad de eso».

Peor como en destructivo, pero los ejecutivos dijeron que no había señales de nada más que ciberespionaje en este momento. Aun así, el ataque genera preocupaciones para la infraestructura de TI de EE. UU. Cuando las empresas de software se infiltran y se ven comprometidas como un punto de apoyo en las redes de sus clientes, los objetivos finales.

Kiersten Todt, directora gerente del Cyber ​​Readiness Institute y ex miembro de la comisión nacional de ciberseguridad de la administración Obama, dice que es probable que haya mucho más sobre los ataques que siguen sin conocerse. «Creo que hay muchas más cosas que no sabemos. No está claro cuánto más es peligroso o impactante», dice. «¿Y cuánto no sabemos que va a marcar la diferencia? Esa es la pregunta».

Smith, de Microsoft, también señaló el alcance sin precedentes de los ataques y la dificultad de conectar «los puntos» para ver la imagen completa de los ataques. Eso se refiere a los desafíos que se enfrentan hoy en día en el intercambio de información entre el gobierno y el sector privado de las amenazas cibernéticas. «La naturaleza de la inteligencia de amenazas siempre se trata de conectar los puntos, por lo que cuantos más puntos tenga, más probabilidades tendrá de ver un patrón y llegar a una conclusión», dijo. «Uno de los desafíos es que los puntos están tan dispersos en una variedad de empresas privadas».

«Debería haber algún nivel de intercambio de información de una manera apropiada para aquellos de nosotros en el sector privado que somos los primeros en responder», dijo.

Kelly Jackson Higgins es la editora ejecutiva de Dark Reading. Es una periodista veterana de tecnología y negocios galardonada con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Community Computing, Secure Company … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique