La Casa Blanca minimize la respuesta a SolarWinds y …



Las lecciones aprendidas de los Grupos de Coordinación Unificados se utilizarán para informar los esfuerzos de respuesta futuros, dice un funcionario del gobierno.

La administración de Biden ha decidido retirar a dos grupos de respuesta de emergencia establecidos recientemente para impulsar una respuesta gubernamental coordinada al ataque SolarWinds y las vulnerabilidades dirigidas a vulnerabilidades críticas de Microsoft Exchange Server.

Las lecciones aprendidas de los dos llamados Grupos de Coordinación Unificada (UCG) se utilizarán para ayudar a mejorar las futuras respuestas del gobierno a los principales incidentes cibernéticos, dijo Anne Neuberger, asesora adjunta de seguridad nacional de la Casa Blanca para tecnología cibernética y emergente, el lunes.

«Debido al enorme aumento de parches y la reducción de víctimas, estamos retrasando los esfuerzos actuales de aumento de UCG y manejaremos más respuestas a través de procedimientos estándar de manejo de incidentes», dijo Neuberger en un declaración.

La Casa Blanca de Trump estableció el primer CGU a principios de enero tras la noticia de la violación de SolarWinds. El ataque resultó en la distribución de malware a unas 18.000 organizaciones de todo el mundo, incluidas agencias gubernamentales, empresas privadas y empresas de tecnología. El grupo de trabajo, compuesto por equipos de seguridad del FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS y la ODNI, se estableció para impulsar una investigación y respuesta coordinadas para el ataque, que involucró redes del gobierno federal.

La administración Biden estableció una UGC similar en marzo, esta vez en respuesta a noticias sobre ataques dirigidos a cuatro vulnerabilidades de día cero recientemente reveladas en el ampliamente utilizado Microsoft Exchange Server. A diferencia del primer grupo de trabajo, este también fomentó la participación de organizaciones del sector privado.

Neuberger señaló varias lecciones aprendidas de los dos CGU al anunciar la decisión de reducirlos. Por ejemplo, al involucrar a actores de la industria y múltiples autoridades legales, el UGC anterior pudo analizar con precisión el ataque SolarWinds y determinar que menos de 100 organizaciones fueron en realidad el objetivo de ataques secundarios desde el peor de los casos de 16.800 organizaciones. «Esto permitió una participación enfocada de las víctimas y una mejor comprensión de lo que los perpetradores tenían como objetivo del conjunto más amplio de entidades expuestas», dijo Neuberger.

De manera related, las asociaciones activas con empresas privadas dieron como resultado la disponibilidad acelerada de una herramienta de un solo clic de Microsoft para simplificar y acelerar los esfuerzos de parcheo y limpieza en las organizaciones afectadas por los ataques de Exchange Server. «CISA creó y utilizó una metodología para rastrear las tendencias en la aplicación de parches y los servidores Trade expuestos que permitió a UCG cuantificar el alcance del incidente», señaló Neuberger.

Muchos expertos en seguridad han descrito el ataque a SolarWinds como uno de los peores de los últimos tiempos. El ataque, que el gobierno de EE. UU. Atribuyó formalmente la semana pasada al Servicio de Inteligencia Exterior de Rusia (SVR), ha llamado la atención generalizada por el sofisticado malware utilizado y la amplia seguridad operativa que los atacantes mantuvieron a lo largo de su campaña.

Más de 18.000 organizaciones recibieron malware oculto en actualizaciones legítimas del program de gestión de purple Orion de SolarWinds. Un puñado de ellos, incluidas menos de 10 agencias federales de EE. UU. Y empresas como FireEye y Mimecast, fueron posteriormente sometidos a más exploits y robo de datos. A FireEye le robaron una colección de sus herramientas del equipo rojo, y Mimecast dijo que parte de su código fuente fue tomado en el ataque.

Al identificar a SVR como el cerebro detrás de la campaña SolarWinds, el Departamento del Tesoro de los EE. UU. También anunció sanciones contra varias firmas rusas de seguridad de TI por ayudar al servicio de inteligencia en su campaña.

Los ataques más recientes a Microsoft Trade Server también suscitaron una preocupación sustancial debido al uso generalizado de la tecnología en el gobierno de los Estados Unidos y en las redes privadas. Se creía que un grupo de ciberespionaje llamado Hafnium, que según Microsoft es un grupo patrocinado por el estado que opera fuera de China, era el principal responsable de muchos de los primeros ataques dirigidos a los cuatro errores de Trade Server. Sin embargo, en marzo, se creía que varios atacantes estaban explotando las fallas para llevar a cabo una variedad de actividades maliciosas, incluido el robo de copias de bases de datos de Microsoft Ad, volcar credenciales, moverse lateralmente y escribir shells web que los futuros atacantes pueden explotar, el hallazgo más preocupante, dicen los investigadores.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first