Estados Unidos gastó miles de millones en un sistema para detectar hacks. Los rusos lo superaron.


Los rusos, cuya operación fue descubierta este mes por una firma de ciberseguridad que piratearon, estaban bien.

Cuando los piratas informáticos rusos introdujeron por primera vez sus caballos de Troya digitales en los sistemas informáticos del gobierno federal, probablemente en la primavera, permanecieron inactivos durante días, sin hacer nada más que esconderse. Luego, el código malicioso entró en acción y comenzó a comunicarse con el mundo exterior.

En ese momento, cuando el malware ruso comenzó a enviar transmisiones desde servidores federales a computadoras de comando y control operadas por los piratas informáticos, surgió una oportunidad de detección, al igual que los espías humanos detrás de las líneas enemigas son particularmente vulnerables cuando se comunican por radio para reportar lo que han hecho. he encontrado.

¿Por qué, entonces, cuando las redes informáticas del Departamento de Estado y otras agencias federales comenzaron a enviar señales a los servidores rusos, nadie en el gobierno de los Estados Unidos se dio cuenta de que algo extraño estaba sucediendo?

La respuesta es en parte habilidad rusa, en parte punto ciego del gobierno federal.

Los rusos, cuya operación fue descubierta este mes por una firma de ciberseguridad que piratearon, estaban bien. Después de iniciar los ataques mediante la corrupción de parches de software de monitoreo de red ampliamente utilizado, los piratas informáticos se escondieron bien, borraron sus pistas y se comunicaron a través de direcciones IP en los Estados Unidos en lugar de, por ejemplo, en Moscú, para minimizar las sospechas.

Los piratas informáticos también utilizaron nuevos fragmentos de código malicioso que aparentemente eludieron el sistema de detección multimillonario del gobierno de EE. UU., Einstein, que se enfoca en encontrar nuevos usos de malware conocido y detectar conexiones a partes de Internet utilizadas en ataques anteriores.

Pero Einstein, operado por el Departamento de Seguridad Nacional (DHS), no estaba equipado para encontrar malware novedoso o conexiones a Internet, a pesar de un informe de 2018 de la Oficina de Responsabilidad del Gobierno que sugiere que desarrollar dicha capacidad podría ser una inversión inteligente. Algunas firmas privadas de ciberseguridad realizan este tipo de “búsqueda” de comunicaciones sospechosas, tal vez una dirección IP a la que un servidor nunca antes se haya conectado, pero Einstein no lo hace.

“Es justo decir que Einstein no se diseñó correctamente”, dijo Thomas Bossert, un alto funcionario de seguridad cibernética en las administraciones de George W. Bush y Trump. “Pero eso es un fracaso de la gestión”.

El DHS no respondió a una solicitud de comentarios.

Rusia ha negado su participación en las intrusiones.

El gobierno federal ha invertido mucho para proteger sus innumerables computadoras, especialmente desde que se descubrió el alcance del devastador ataque chino a la Oficina de Administración de Personal en 2015, cuando más de 20 millones de empleados federales y otras personas tenían su información personal, incluidos los números de la Seguridad Social. , comprometidos.

Pero el hackeo de redes federales de este año, descubierto en los últimos días, ha revelado nuevas debilidades y ha subrayado algunas conocidas anteriormente, incluida la dependencia del gobierno federal de software comercial ampliamente utilizado que proporciona posibles vectores de ataque para los piratas informáticos de los estados nacionales.

Según los informes, los rusos encontraron su camino hacia los sistemas federales primero pirateando SolarWinds, un fabricante de software de monitoreo de red con sede en Texas, y luego deslizaron el malware en actualizaciones automáticas que los administradores de red, en el gobierno federal y en otros lugares, instalan de forma rutinaria para mantener sus sistemas. Actual. La compañía informó que casi 18.000 de sus clientes pueden haberse visto afectados en todo el mundo.

En términos más generales, el ataque destacó las luchas de los sistemas de monitoreo de red del gobierno para detectar amenazas entregadas a través de código malicioso recién escrito que se comunica con servidores que no estaban previamente afiliados a ciberataques conocidos. Esto es algo que los piratas informáticos avanzados de los estados nacionales, incluidos los de Rusia, a veces hacen, presumiblemente porque hace que las intrusiones sean más difíciles de detectar.

Se desconoce el alcance total del hack, aunque está claro que se ha penetrado en un número creciente de agencias, incluidos los departamentos de Estado, Tesoro, Seguridad Nacional y Comercio y los Institutos Nacionales de Salud. Se encuentran entre las víctimas que incluyen empresas de consultoría, tecnología, telecomunicaciones y petróleo y gas en América del Norte, Europa, Asia y Medio Oriente.

El Pentágono estaba evaluando el martes si hubo intrusiones en el departamento en expansión y qué impacto pudieron haber tenido, dijo un portavoz.

El FBI y el Departamento de Seguridad Nacional están investigando el alcance y la naturaleza de las violaciones, que según los funcionarios de inteligencia fueron llevadas a cabo por el Servicio de Inteligencia Exterior de Rusia, el SVR. El gobierno de Estados Unidos no ha atribuido públicamente los ataques a nadie.

Los correos electrónicos eran uno de los objetivos de los piratas informáticos, dijeron las autoridades. Aunque todavía no está claro qué pretenden hacer los rusos con la información, sus víctimas, incluidas diversas oficinas del Departamento de Estado, sugieren una variedad de motivos.

En el Departamento de Estado, es posible que quieran saber cuáles son los planes de los responsables políticos con respecto a las regiones y los problemas que afectan los intereses estratégicos de Rusia. En el Tesoro, es posible que hayan buscado información sobre los posibles objetivos rusos de las sanciones estadounidenses. En los Institutos Nacionales de Salud (NIH), pueden estar interesados ​​en información relacionada con la investigación de la vacuna contra el coronavirus.

A medida que continúa el trabajo de investigación, algunos legisladores se centran en investigar por qué y cómo los esfuerzos federales de ciberseguridad se han quedado cortos a pesar de años de ataques dañinos por parte de espías rusos y chinos y de importantes inversiones federales en tecnologías defensivas.

Einstein, que fue desarrollado por el DHS y es operado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del departamento, se convirtió en la columna vertebral de la protección federal de las computadoras de las agencias civiles, pero el informe de la GAO de 2018 encontró debilidades significativas.

La capacidad de “identificar cualquier anomalía que pueda indicar un compromiso de seguridad cibernética” se planeó para su implementación en 2022, según el informe. También dijo que el monitoreo de la red por parte de agencias individuales es irregular. De las 23 agencias federales encuestadas, cinco “no estaban monitoreando las conexiones directas entrantes o salientes a entidades externas” y 11 “no monitoreaban de manera persistente el tráfico entrante cifrado”. Ocho “no supervisaban de forma persistente el tráfico cifrado de salida”.

“El DHS gastó miles de millones de dólares de los contribuyentes en defensas cibernéticas y todo lo que obtuvo a cambio fue un limón con un nombre pegajoso”, dijo el senador Ron Wyden, demócrata de Oregón, miembro del Comité de Inteligencia del Senado. “A pesar de las advertencias de los organismos de control del gobierno, esta administración no implementó rápidamente la tecnología necesaria para identificar el tráfico sospechoso y atrapar a los piratas informáticos utilizando nuevas herramientas y nuevos servidores”.

No fue solo esta administración.

Bossert, quien trabajó en el concepto original de Einstein en la administración de George W. Bush, dijo que la idea era colocar sensores activos en el portal de Internet de una agencia que pudiera reconocer y neutralizar el tráfico malicioso de comando y control. “Pero las administraciones de Bush, Obama y Trump”, dijo, “nunca diseñaron a Einstein para alcanzar todo su potencial”.

Los funcionarios de CISA dijeron al personal del Congreso en una llamada del lunes por la noche que el sistema no tenía la capacidad de marcar el malware que estaba enviando señales a sus maestros rusos.

Los funcionarios dijeron que las agencias federales no le habían dado a CISA la información necesaria para identificar los servidores de la agencia que no deberían comunicarse con el mundo exterior, dijo un asistente del Congreso, quien habló bajo condición de anonimato para discutir un asunto delicado.

“Para CISA, todas las computadoras internas de la agencia tienen el mismo aspecto, por lo que Einstein solo marca muestras de malware conocido o conexiones a direcciones IP ‘conocidas erróneas'”, dijo el asistente.

Otros expertos en ciberseguridad dicen que las infracciones resaltan la necesidad “desesperada” de una junta de gobierno que pueda realizar una investigación profunda de un incidente como el de SolarWind, cuyos parches corruptos permitieron los compromisos y, fundamentalmente, hacer público el informe.

“Necesitamos que las personas lean el informe y digan: ‘Oh, guau, necesitamos asegurar nuestra [information technology] pipeline ‘”, dijo Alex Stamos, director del Stanford Internet Observatory, un grupo de investigación. Anteriormente fue director de seguridad en Facebook y Yahoo.

Dijo que hay “cientos o miles de empresas” en este espacio que pueden tener fallas de seguridad sin saberlo. Estas firmas realizan monitoreo de red, administración de TI y agregación de registros. “La TI empresarial es un mercado de 2 billones de dólares”, dijo Stamos. “No hay ninguna agencia a cargo de garantizar su seguridad”.

.



Source link