Estados Unidos atribuye formalmente el ataque de SolarWinds a Rusia …



El Departamento del Tesoro impone sanciones a las empresas de seguridad de TI que dice que apoyaron al Servicio de Inteligencia Exterior de Rusia para llevar a cabo los ataques.

El jueves, la administración Biden culpó oficialmente al Servicio de Inteligencia Exterior de Rusia, SVR, por el ciberataque a SolarWinds y anunció sanciones contra un puñado de empresas de seguridad de TI por ayudar a habilitar ese ataque y otras actividades cibernéticas maliciosas a lo largo de los años.

Entre los proveedores incluidos en la lista de sanciones del Departamento del Tesoro de EE. UU. Se encontraban Optimistic Technologies y algunas otras empresas de seguridad de TI relativamente menos conocidas en los EE. UU., Incluidas Neobit, State-of-the-art Program Technological innovation y Pasit.

En un anuncio relacionado, la Agencia de Seguridad Nacional (NSA), el FBI y la Agencia de Seguridad Cibernética e Infraestructura (CISA) del Departamento de Seguridad Nacional emitieron hoy una advertencia conjunta de la SVR que apunta activamente a las tecnologías de redes y comunicaciones ampliamente desplegadas en las redes de EE. UU. de empresas como Fortinet, Pulse Safe, Citrix y VMware.

Las acciones marcan la primera vez que el gobierno de EE. UU. Nombra formalmente a una agencia de inteligencia rusa como perpetrador del ataque SolarWinds y las posteriores intrusiones en otras redes, incluidas las que pertenecen a agencias gubernamentales, empresas privadas y empresas de seguridad como FireEye y Mimecast. Los ataques han causado una preocupación considerable por el robo de datos a gran escala, el ciberespionaje y los actores de amenazas con una presencia persistente oculta en las redes de EE. UU. Anteriormente, las agencias de inteligencia y aplicación de la ley de Estados Unidos habían descrito los ataques como «probablemente de origen ruso», pero no llegaron a atribuirlos a ninguna entidad específica.

Kevin Mandia, director ejecutivo de FireEye, describe que las sanciones probablemente dificulten las cosas para los operadores rusos. «Desafortunadamente, es poco probable que podamos disuadir completamente el ciberespionaje, y tendremos que tomar medidas serias para defendernos mejor de futuras intrusiones inevitables», dice en un comentario enviado por correo electrónico en respuesta al anuncio de esta mañana.

Las sanciones que el Departamento de Hacienda Anunciado hoy identificó al SVR como uno de los tres servicios de inteligencia rusos responsables de llevar a cabo «algunos de los ciberataques más peligrosos y disruptivos de la historia reciente, incluido el ataque SolarWinds».

Los otros dos servicios de inteligencia rusos, el Servicio Federal de Seguridad (FSB) y la Dirección Principal de Inteligencia de Rusia (GRU), ya han sido afectados por tres acciones de sanciones previas. Dos de ellos, en 2016 y 2018, estaban relacionados con actividades cibernéticas maliciosas, incluidas campañas de ransomware, despliegue de malware NotPetya y Olympic Destroyer, ataques a la Agencia Mundial Antidopaje y numerosos sistemas gubernamentales y de infraestructura crítica en varios países. En marzo de 2021, el GRU y el FSB fueron sancionados nuevamente, pero esta vez en relación con actividades relacionadas con la proliferación de armas nucleares y armas de destrucción masiva.

Las sanciones del Departamento del Tesoro se impusieron bajo una nueva orden ejecutiva que el presidente Biden firmó el jueves. La orden ejecutiva de Biden responde a lo que la Casa Blanca describió como esfuerzos continuos del gobierno ruso para socavar los procesos democráticos de Estados Unidos y participar en una amplia gama de actividades cibernéticas maliciosas. Autoriza al Departamento del Tesoro a implementar sanciones «estratégicas y económicamente impactantes» sobre el SVR y las entidades que se cree que están ayudando materialmente a los servicios de inteligencia rusos a llevar a cabo sus misiones.

Impacto de las sanciones
Las sanciones prohíben a las empresas financieras estadounidenses participar en los mercados rusos. También congelan todas las propiedades e intereses en los Estados Unidos en propiedades pertenecientes a las entidades en la lista de sanciones del Departamento del Tesoro. También se han congelado todos los activos con sede en EE. UU. Que pertenecen en más del 50% a entidades incluidas en la nueva lista de sanciones.

Es possible que las sanciones creen cierta incertidumbre y perturbación para las organizaciones estadounidenses que actualmente utilizan tecnologías de entidades incluidas en la nueva lista de sanciones. «A medida que la tensión del Estado-nación se derrama en el sector privado, puede haber organizaciones sorprendidas por la realidad de que están participando con o sin su consentimiento en una narrativa más amplia de intereses nacionales en competencia», dice Tim Wade, director técnico y CTO en Vectra.

En el plazo inmediato, las organizaciones afectadas probablemente tendrán que buscar nuevas tecnologías y capacidades, dice. «A largo plazo, la seguridad de los proveedores en sí misma como disciplina necesitará expandir su alcance de riesgo para incluir los daños colaterales infligidos por las crecientes tensiones nacionales en el dominio cibernético», dice Wade.

La acción del gobierno de EE. UU. El jueves finalmente ha asignado un nombre a la entidad en la sombra detrás del ataque SolarWinds, que numerosos expertos en seguridad han descrito como una de las operaciones cibernéticas maliciosas más sofisticadas de la historia. Sin embargo, debido a lo notoriamente difícil que puede ser la atribución de ataques, es possible que queden algunas preguntas sobre los datos que llevaron a la inteligencia de EE. UU. A SVR.

«La atribución de la campaña de ataque a la cadena de suministro de SolarWinds a un grupo de ciberespionaje ruso patrocinado por el estado es creíble, ya que los altos niveles de sofisticación, habilidad y sigilo en esa campaña fueron consistentes con los de esos grupos rusos», Paul Prudhomme, El analista de amenazas cibernéticas de IntSights, dijo en un comunicado: «No obstante, no está claro qué puntos de datos específicos permitieron la atribución».

Joseph Carson, científico en jefe de seguridad y CISO asesor de ThycoticCentrify, dice que el hecho de que el gobierno de EE. UU. Esté responsabilizando a Rusia no debería sorprender, pero se necesita más información sobre la atribución. «Cuanto más aprendemos sobre la atribución, más acciones concretas y responsabilidades se pueden tomar», dice.

Mientras tanto, hoy asesoramiento conjunto del FBI, la NSA y la CISA advirtieron a las organizaciones que estén alerta para atacar un conjunto de cinco vulnerabilidades específicas en productos de cinco proveedores. Según ellos, los atacantes están apuntando activamente CVE-2018-13379 en Fortigate VP de Fortinet CVE-2019-11510, afectando a Pulse Secure Pulse Connect Secure VPN CVE-2019-19781 en Citrix Application Delivery Controller y Gateway CVE-2020-4006 en VMware Workspace Just one Obtain y CVE-2019-9670 en Synacor Zimbra Collaboration Suite.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic