Por qué el hackeo del gobierno de los EE. UU. Está literalmente manteniendo a los expertos en seguridad


El gobierno de EE. UU. Se está recuperando de múltiples violaciones de datos en las principales agencias federales, como resultado de una campaña de piratería mundial con posibles vínculos con Rusia. Los investigadores todavía están tratando de averiguar qué parte del gobierno pudo haberse visto afectado y qué tan gravemente comprometido.

Pero lo poco que sabemos tiene a los expertos en ciberseguridad extremadamente preocupados, y algunos describen el ataque como una llamada de atención literal.

“Me desperté en medio de la noche de anoche con el estómago revuelto”, dijo Theresa Payton, quien se desempeñó como directora de información de la Casa Blanca durante la presidencia de George W. Bush. “En una escala del 1 al 10, estoy en un 9, y no es por lo que sé, es por lo que todavía no sabemos”.

El domingo por la noche, el Departamento de Comercio reconoció que se había visto afectado por una filtración de datos después de que Reuters informara por primera vez que piratas informáticos sofisticados comprometieron la agencia a través de un proveedor de software externo conocido como SolarWinds. Si bien SolarWinds no es un nombre familiar, funciona con muchas empresas y organizaciones que lo son.

Desde entonces, han surgido más detalles que sugieren un patrón de compromiso mucho más amplio. Hasta 18.000 clientes de SolarWinds, de un total de 300.000, pueden haber estado ejecutando software que contiene la vulnerabilidad que permitió a los piratas informáticos penetrar en el Departamento de Comercio, reveló la compañía en una presentación de inversionistas esta semana.

He aquí por qué los ciberataques revelados esta semana mantienen a los expertos despiertos por la noche, según quién fue el objetivo, las presuntas identidades de los atacantes y su libro de jugadas, según los analistas contactados por CNN Business y los informes de seguridad publicados.

Todas las agencias federales en alerta

Una de las razones por las que el ataque es tan preocupante es quién pudo haber sido víctima de la campaña de espionaje.

Al menos tres agencias estadounidenses han confirmado públicamente que estaban comprometidas: el Departamento de Comercio, el Departamento de Seguridad Nacional y el Departamento de Agricultura.

Pero la gama de víctimas potenciales es mucho, mucho mayor, lo que aumenta la preocupante perspectiva de que el ejército estadounidense, la Casa Blanca o las agencias de salud pública que respondieron a la pandemia también pueden haber sido blanco de espías extranjeros. El Departamento de Justicia, la Agencia de Seguridad Nacional e incluso los EE. UU.

Todos los servicios postales han sido citados por expertos en seguridad como potencialmente vulnerables.

Se les ha dicho a todas las agencias civiles federales que revisen sus sistemas en una directiva de emergencia por parte de los funcionarios del DHS. Es solo la quinta directiva de este tipo emitida por la Agencia de Seguridad de la Ciberseguridad y la Infraestructura desde su creación en 2015.

No es solo el gobierno de EE. UU. En la mira: la firma de élite de ciberseguridad FireEye, que fue víctima del ataque, dijo que las empresas de la economía en general también eran vulnerables al espionaje. La vulnerabilidad del software que permitió el espionaje se ha encontrado en la industria de la tecnología y las telecomunicaciones, así como en empresas consultoras y empresas de energía, según FireEye.

Los expertos en seguridad dicen que esto es solo el comienzo. En los próximos días, es posible que sepamos que muchas más empresas y agencias se han visto comprometidas de lo que inicialmente sospechábamos. Y todavía no sabemos qué información se puede haber perdido o robado.

Atacantes extraordinariamente hábiles

Otro motivo de preocupación es que los atacantes parecen haber sido extraordinariamente hábiles y decididos.

“La campaña demuestra habilidades operativas de primer nivel y recursos consistentes con los actores de amenazas patrocinados por el estado”, dijo FireEye, y agregó que las infracciones parecen remontarse a la primavera. “Cada uno de los ataques requiere una planificación meticulosa e interacción manual”.

Atribuir cualquier ciberataque es difícil en las mejores circunstancias y aún más desafiante cuando un actor sofisticado trabaja para cubrir sus huellas, como lo hicieron estos. Pero los funcionarios estadounidenses han dicho tentativamente que el culpable puede tener vínculos con Rusia.

El hecho de que agentes de un gobierno extranjero puedan haber sido responsables de las infracciones es una señal preocupante no solo de las capacidades de los atacantes, sino también de sus motivos. Estos no eran ciberdelincuentes oportunistas que investigaban indiscriminadamente cualquier objetivo que pudieran encontrar con la esperanza de extorsionar a sus víctimas por un rápido día de pago. Estos fueron atacantes altamente motivados que seleccionaron a cada una de sus víctimas con un propósito específico que permanece desconocido.

“Si compromete la red de alguien durante 6 meses, hay muchas oportunidades”, dijo James Lewis, un experto en ciberseguridad del Centro de Estudios Estratégicos e Internacionales, un grupo de expertos en seguridad. “Es un golpe asombroso para los rusos, realmente impresionante”.

Un truco inusual y creativo

Un tercer motivo de preocupación es la forma inusual y creativa en la que los atacantes llevaron a cabo su operación: disfrazando el ataque inicial con actualizaciones de software legítimas emitidas por SolarWinds.

“SolarWinds es una de las herramientas más utilizadas y efectivas para el monitoreo de redes, incluidas las redes federales y las principales corporaciones”, dijo Jamie Barnett, contralmirante retirado de la Marina y vicepresidente senior de la firma de ciberseguridad RigNet. “Se necesita un ciberataque a nivel estatal para entrar en

Actualizaciones y parches de SolarWinds “.

Al aprovechar las actualizaciones de software que de otro modo serían confiables, los atacantes aprovecharon inteligentemente la mejor práctica normal y recomendada de mantener el software actualizado. Así, miles de empresas y agencias gubernamentales podrían haber sido expuestas simplemente por hacer lo correcto.

Eso es lo que da tanto miedo: no está claro qué podría haberse hecho de manera diferente en este caso, porque el mismo proceso destinado a asegurar a los usuarios que “se puede confiar en este software” se vio comprometido.

Una vez dentro de un objetivo, los atacantes esperaron pacientemente hasta que recolectaron suficientes datos sobre los usuarios autorizados para hacerse pasar por ellos, lo que les permitió moverse a través de la red de una víctima sin ser detectados durante meses, según un análisis de la firma de ciberseguridad CrowdStrike.

El grado de acceso que disfrutaron los piratas informáticos, así como el tiempo que pudieron recopilar información, puede terminar haciendo de este “un ciberataque mucho peor que la violación de la Oficina de Gestión de Personal” divulgada por el gobierno de EE. UU. En 2015, dijo Barnett. . Esa violación, atribuida a piratas informáticos vinculados a China, resultó en el robo de grandes cantidades de datos personales de millones de empleados federales y solicitantes de autorización de seguridad.

La creciente frecuencia e intensidad de la piratería informática patrocinada por el estado hace que algunos líderes de seguridad cibernética reiteren los llamados a un tratado global sobre la guerra cibernética.

“Necesitamos un conjunto de reglas vinculantes”, dijo el presidente de Microsoft, Brad Smith, en un evento realizado el martes por la Fundación e Instituto Ronald Reagan. “Y necesitamos un compromiso por parte de las democracias del mundo para responsabilizar a los regímenes autoritarios, para que mantengan sus manos fuera de los civiles en este tiempo de paz cuando se trata del ciberespacio”.

Otros expertos cuestionan cada vez más la dependencia de muchas empresas de solo un puñado de proveedores externos, y dicen que quizás la sociedad hace que sea demasiado fácil acceder a los datos o compartirlos, particularmente durante una pandemia cuando trabajar de forma remota es normal para innumerables individuos.

“Surge la pregunta: ‘En ciberseguridad, ¿tenemos una situación de’ demasiado grande para fallar ‘? ¿Y sucedió justo delante de nuestras narices, mientras les decíamos a todos que gasten más, que utilicen herramientas, que obtengan productos?” dijo Payton.

.



Source link