Mandia alertó a la NSA sobre la violación de SolarWinds de FireEye



CUMBRE MANDIANTE DE DEFENSA CIBERNÉTICA – Washington, DC – Fue justo antes de las vacaciones de Acción de Gracias en 2020 cuando Kevin Mandia, entonces director ejecutivo de FIreEye, hizo una visita inusual y urgente a Fort Meade, Maryland. Compartió con la Agencia de Seguridad Nacional (NSA) impresionante detalles de un ciberataque agresivo y ultra sofisticado a su empresa que le resultaba inquietantemente common después de más de dos décadas de investigar ataques de adversarios extranjeros.

«En mi inside, muy temprano sentí que era una operación de inteligencia extranjera rusa. Seguí pensando, no somos solo nosotros. En mi mente estaba pensando, estamos atrapados en eso ahora mismo y sé que no lo estamos. víctima uno … Y no escucho nada de nadie, ¿qué diablos es esto? El silencio period ensordecedor «, dijo en una entrevista aquí con Dark Examining. «Yo también hice la llamada, [to the NSA also] porque sentí que podríamos tener un problema de seguridad nacional [here]. »

Mandia no había revelado públicamente su interacción con la NSA ese día sobre la violación de SolarWinds hasta hoy, después de que el director de la NSA y Comandante del Comando Cibernético de los Estados Unidos, Paul Nakasone, compartiera la anécdota durante su discurso de apertura aquí, básicamente dando a Mandia un reconocimiento por informar a la NSA sobre el incumplimiento. Nakasone explicó cómo el aviso ayudó a la agencia con su investigación sobre la campaña SolarWinds.

Nakasone dijo que la cooperación entre la compañía y la NSA era un excelente ejemplo de lo que significan las asociaciones público-privadas en ciberseguridad, para su agencia y otras agencias clave. «Hace casi un año, Kevin llegó a la NSA y dijo que tenía fuertes indicadores de un adversario extranjero hostil en los sistemas corporativos privados de FireEye», dijo Nakasone en su discurso de apertura. La información compartida con la agencia de inteligencia les permitió corroborar y descubrir más detalles del ataque general y detalles técnicos clave del ataque, dijo, incluida «la vulnerabilidad en la raíz del incidente de SolarWinds».

FireEye, que recientemente se separó de Mandiant, descubrió que los atacantes habían robado algunas de las herramientas de evaluación del equipo rojo utilizadas en sus compromisos con los clientes. Si bien FireEye, y Mandia, en su mayoría han evitado nombrar a los atacantes, el gobierno de EE. UU. Ha confirmado que era la agencia de inteligencia SVR de Rusia. La mayoría de los atacantes buscaban información sobre clientes gubernamentales específicos de FireEye y habían obtenido acceso a algunos de los servidores de la compañía.

Nakasone dijo que el «equipo de búsqueda» de la NSA encontró el nuevo malware y pudo «poner fin» a la campaña de ataque. Acortó el período de tiempo durante el cual los atacantes podrían haber estado dentro de sus objetivos y estableciendo puntos de apoyo más profundos en sus redes, dijo. «Para cualquier organización de inteligencia, el objetivo es no quedar atrapado en el acto», por lo que no es típico que los atacantes de SolarWinds tengan sus operaciones expuestas y detenidas en menos de un año, dijo. Debido a que Mandia se puso en contacto con la NSA, la duración del ataque se acortó y se frustraron las infracciones más profundas, dijo Nakasone.

«El incidente de SolarWinds fue el punto de inflexión para nuestra nación», dijo Nakasone, y la «asociación» de FireEye y la NSA fue fundamental para frustrar el daño adicional de los atacantes.

Mandia dijo que había reconocido un patrón en el ataque SolarWinds equivalent a uno al que había respondido a mediados o finales de la década de 1990 que se creía que period obra del SVR. «El cálculo no fue difícil. Sabíamos que necesitábamos ayuda e hicimos suficientes negocios con el gobierno de Estados Unidos como para saber que necesitábamos entregarle esta información», le dijo a Nakasone durante su sesión de preguntas y respuestas.

Los atacantes utilizaron deliberadamente direcciones IP de EE. UU., Lo que las puso fuera del ojo vigilante de la agencia de inteligencia, explicó Mandia. «Hay momentos en que el sector privado va a ver algo y el gobierno no», dijo.

Compartir inteligencia sobre ataques y amenazas con el gobierno de los EE. UU. Ha sido durante mucho tiempo una interacción incómoda para el sector privado muchas organizaciones siguen siendo cautelosas porque a menudo no obtienen ningún beneficio, ni información adicional, por hacerlo. «No hay una zanahoria para la empresa que se hace pública» con su ataque, dijo Mandia. «Incluso puede haber momentos en los que sea difícil para nosotros compartir», y agregó que su organización se abstendría de nombrar a cualquier víctima de un ataque con los federales. «Eso no es mío para compartirlo», dijo sobre esos detalles.

Lecciones de SolarWinds
Mandia admitió que fue doloroso pero esclarecedor encontrarse a sí mismo en el papel de organización de víctimas. Aun así, dirigir una empresa que se especializa en respuesta a incidentes, y que tiene los recursos para concentrarse en el ataque IR, le dio a la empresa una ventaja muy poco común que la mayoría de las organizaciones víctimas obviamente no tienen.

«Tengo que aprender de primera mano cómo es», dijo. «Pero tiene que ser totalmente frustrante» para otras organizaciones de víctimas que no tienen cientos de especialistas dedicados a investigar sus infracciones. Aún no fue fácil para FireEye / Mandiant llegar al fondo de lo que robaron los atacantes, dada su disciplina y habilidades, dijo. «Lo que no puedo soportar es que si te atacan, van a ganar. Te seguirán atacando hasta el día en que tengan éxito».



Enlace a la noticia initial