Estados Unidos víctima del Ciberataque informático más importante en veinte años

Estados Unidos víctima del Ciberataque informático más importante en veinte años

Pánico e incertidumbre en Estados Unidos tras una severa operación de espionaje informático

DC News

El gran ataque de piratería: la violación de SolarWinds expone grandes lagunas en la seguridad cibernética

Expertos y empresas están trabajando para determinar el alcance exacto de esta operación, que ha afectado a empresas e instituciones, y que ya es una afrenta a las autoridades estadounidenses.

¿ Ha sido Estados Unidos víctima de la operación de espionaje informático más importante en veinte años?

Desde el domingo 13 de diciembre y el descubrimiento de software espía escondido en el corazón de una herramienta informática utilizada por decenas de administraciones y empresas estadounidenses, un viento de pánico se ha apoderado de Washington.

El Consejo de Seguridad Nacional, equivalente al consejo de defensa francés, se reunió dos veces en tres días . El asesor de seguridad nacional de Donald Trump tuvo que interrumpir un viaje a Europa . Se ha activado la unidad de crisis “cibernética” de la Casa Blanca, un organismo creado bajo la administración Obama, mientras que los servicios de inteligencia han informado a los parlamentarios de los comités de inteligencia del Senado y la Cámara de Representantes.

Después de los departamentos del Tesoro y Comercio, de hecho es el Departamento del Interior de los Estados Unidos, el Departamento de Salud, partes del Pentágono y la agencia del Departamento de Energía responsable de administrar el arsenal de armas nucleares. que habría sido visitado por piratas. En algunos casos, se informó que se exfiltraron correos electrónicos . El FBI, la agencia estadounidense de ciberseguridad y el director de inteligencia reconocieron el miércoles 16 de diciembre, en un comunicado conjunto y minimalista, un “compromiso que ha afectado a las redes dentro del gobierno federal” .

Una magnitud imposible de determinar

Para penetrar en estas redes, los piratas informáticos avanzaron enmascarados. En particular, lograron insertar Sunburst, un software malicioso propio, en ciertas versiones de la plataforma Orion, una herramienta para monitorear redes de computadoras comercializada por la empresa estadounidense SolarWinds. La maniobra, difícil de detectar, es increíblemente eficaz: desde marzo, las empresas que instalan determinadas versiones de Orion en sus redes informáticas han abierto sin querer una puerta a los piratas informáticos.

Es probable que los piratas informáticos solo usaran este acceso sigiloso en ciertos casos.

Cuatro días después de que se hiciera pública esta operación de alto vuelo, nadie puede medir el daño con exactitud. Sobre el papel, tienen algo que te marea. SolarWinds ha estimado que poco menos de 18.000 clientes han instalado la versión comprometida de su software desde marzo. Pero este número no le dice a quién espiaron los hackers. El FBI ha abierto una investigación para identificar a las víctimas en Estados Unidos.

Los piratas informáticos se han infiltrado en los departamentos de tesorería y comercio de Estados Unidos

El “Washington Post” acusa a Rusia de ser el origen de estas acciones llevadas a cabo por el grupo APT29, que supuestamente tienen como objetivo el robo de información confidencial.

Los piratas informáticos se han infiltrado, al menos durante semanas, en el corazón de las redes informáticas de varias administraciones en Estados Unidos, reveló este domingo la prensa estadounidense. Los departamentos de Tesorería y Comercio admitieron ser objeto de un ataque informático, sin dar más detalles.

Incluso si todavía es demasiado pronto para determinar exactamente el alcance, la escala y la sofisticación del ataque parecen ser de primer nivel: los piratas informáticos habrían tenido acceso, tal vez desde marzo, a los correos electrónicos intercambiados dentro de de estas dos instituciones. Esto haría de esta la infiltración más importante de los últimos años en Estados Unidos.

Varias decenas de miles de clientes

Este modus operandi es suficiente para dar un sudor frío a las autoridades estadounidenses y más: la empresa reclama varias decenas de miles de clientes, tanto en administraciones como en empresas. Por tanto, la lista de víctimas conocidas podría crecer de forma significativa en los próximos días, y no solo en Estados Unidos.

Según FireEye, el ataque aún está en curso. “Esta podría convertirse en una de las campañas de espionaje más importantes de la historia”, predijo Associated Press Dmitri Alperovich, experto en ciberseguridad y fundador de la empresa CrowdStrike, que se especializa en rastreo. hackers de alto nivel. En un comunicado , Orion reconoció la existencia de “vulnerabilidades” , consecuencia de un ataque “dirigido y altamente sofisticado” , en palabras de su CEO, Kevin Thompson. La compañía dice que actualmente está trabajando con el FBI y los servicios de inteligencia para comprender el desarrollo preciso de los hechos.

En este punto, este truco parece una operación de espionaje clásica, aunque de muy alto perfil. De hecho, los hackers no han mostrado ninguna voluntad de sabotear o manipular. “Esta campaña es obra de un actor altamente calificado”, se contentó con indicar FireEye. La prensa estadounidense, citando varias fuentes gubernamentales, apunta sin embargo al grupo APT29. Se dice que este último, más conocido como Cozy Bear, está muy cerca del SVR, el servicio de inteligencia exterior ruso. ¿Quería este último enviar un mensaje al recién elegido presidente de los Estados Unidos, Joe Biden? Es poco probable, ya que esta operación de espionaje, cuyos primeros rastros se remontan a la primavera, requirió meses de preparación.

Se están identificando más víctimas del ciberataque SolarWinds Orion Sunburst a medida que la escala masiva de la campaña de ciberespionaje vinculada a Rusia se vuelve más clara

Reunión de emergencia

El ejecutivo estadounidense se toma muy en serio la situación. Según la agencia de noticias Reuters, el domingo se convocó una reunión de emergencia del Consejo de Seguridad Nacional (CSN), el principal organismo asesor y de toma de decisiones de la Casa Blanca en asuntos de seguridad. “Estamos tomando todas las medidas necesarias para identificar y resolver todos los problemas potenciales relacionados con esta situación”, dijo el domingo un vocero de CSN.

Hace unos días supimos que la empresa estadounidense FireEye, especializada en la lucha contra los piratas informáticos más avanzados, también había sido objeto de un sofisticado ataque . Esto último provocó el robo de algunas de sus herramientas ofensivas, destinadas a probar la robustez de las redes de sus clientes. En esta etapa, no es seguro que los dos ataques estén vinculados, incluso si, según la prensa estadounidense, son los rastros de los piratas encontrados en los sistemas de FireEye los que permitieron eliminarlos en los sistemas gubernamentales. En cualquier caso, FireEye pudo observar de cerca a los piratas y publicó detalles sobre cómo debían proceder el Domingo .

Este último pasó por SolarWinds, un software editado por la empresa texana Orion y destinado a la gestión de redes informáticas. Los piratas informáticos lograron insertar un programa de software espía dentro de las actualizaciones de SolarWinds: así, utilizando este software común y conocido, las víctimas instalaron software espía sofisticado sin saberlo. Este último, una vez instalado, se puso a prueba de forma remota y pudo comunicarse con sus patrocinadores camuflándose en la actividad normal de SolarWinds, lo que hizo que su actividad fuera aún más difícil de detectar.

Rusia lo niega

Si se confirma la participación de los servicios de inteligencia rusos, este ataque constituiría sin embargo el más importante contra el gobierno estadounidense desde 2015, cuando se detectaron piratas informáticos rusos en ciertos sistemas informáticos de la Casa Blanca, el Pentágono y el Departamento de Estado. En ese momento, el caso tomó por sorpresa a la administración Obama. Unos meses después, estos mismos piratas informáticos habían penetrado en las redes informáticas de la campaña presidencial de Hillary Clinton. Sin embargo, no se habían comprometido a hacer públicos los documentos así recuperados para perturbar la elección, dejando esta tarea a otro grupo de piratas informáticos, APT28, de los servicios de inteligencia militar.

En un mensaje publicado en su página de Facebook , la Embajada de Rusia en Estados Unidos criticó “otro intento infundado de los medios estadounidenses de acusar a Rusia de ataques de piratas informáticos contra el gobierno” . “Las actividades maliciosas en el espacio de la información están en contradicción con la política internacional rusa, nuestros intereses nacionales y nuestra concepción de las relaciones entre los Estados”, afirma también allí.

Estados Unidos víctima del Ciberataque informático más importante en veinte añosLa violación de SolarWinds se ha cobrado su segunda víctima reportada del sector privado, y los piratas informáticos capitalizan el amplio uso de SolarWinds por parte de Microsoft para infiltrarse en el gigante del software, dijo Reuters.

Al igual que con SolarWinds, Reuters informó que los propios productos de Microsoft se utilizaron luego para promover los ataques a otras víctimas. No quedó claro de inmediato cuántos usuarios de Microsoft se vieron afectados por los productos contaminados de la compañía, según Reuters, citando a personas familiarizadas con el asunto.

Un portavoz de Microsoft le dijo a CRN en un correo electrónico que creen que las fuentes del informe de Reuters están “mal informadas o malinterpretando su información”.

“Al igual que otros clientes de SolarWinds, hemos estado buscando activamente indicadores de este actor y podemos confirmar que detectamos binarios de SolarWinds maliciosos en nuestro entorno, que aislamos y eliminamos”, según el portavoz. “No hemos encontrado evidencia de acceso a servicios de producción o datos de clientes. Nuestras investigaciones, que están en curso, no han encontrado absolutamente ningún indicio de que nuestros sistemas se hayan utilizado para atacar a otros “.

Las acciones de la compañía bajaron 1,17 dólares (0,53 por ciento) a 218,25 dólares en las operaciones posteriores al cierre del jueves.

El informe de Reuters se produce pocas horas después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) dijera que tiene evidencia de vectores de acceso inicial adicionales más allá del compromiso de la cadena de suministro de SolarWinds Orion. Sin embargo, CISA dijo que los otros métodos de intrusión aún se están investigando.

Es probable que los piratas informáticos tengan vectores de acceso inicial adicionales que aún no se han descubierto, CISA escribió una alerta de actividad cibernética de 17 páginas. Específicamente, CISA dijo que está investigando incidentes donde los adversarios exhiben un comportamiento consistente con los piratas informáticos de SolarWinds pero las víctimas no usan SolarWinds Orion o no se observó actividad de explotación de SolarWinds.

El informe de Reuters indica que SolarWinds también sirvió como proveedor de acceso inicial a Microsoft. FireEye también se vio comprometido a través de SolarWinds, al igual que los Departamentos de Defensa, Estado, Tesoro, Seguridad Nacional y Comercio de EE. UU., Según informes de Reuters y otros.

CRN informó el martes que Microsoft se había visto atrapado en las investigaciones que rodean el colosal ataque del gobierno de EE. UU., Con informes de los medios y mensajes de la empresa que se centran en Office 365, Azure Active Directory y un nombre de dominio clave. Microsoft no proporcionó en ese momento una respuesta oficial a las preguntas de CRN sobre si la propia empresa fue violada como parte de esta campaña.

Los piratas informáticos de los servicios de inteligencia rusos monitorearon durante meses los correos electrónicos del personal enviados a través de Office 365 en la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio después de ingresar al software de la oficina de la NTIA, dijo Reuters el domingo. El lunes, SolarWinds dijo que se enteró de un vector de ataque que se utilizó para comprometer los correos electrónicos de Microsoft Office 365 de la empresa.

En cuanto a Azure, los piratas informáticos pudieron falsificar un token que afirma representar una cuenta altamente privilegiada en Azure Active Directory (AD), escribió el Centro de Investigación de Seguridad de Microsoft en un blog el domingo. Los piratas informáticos también podrían obtener privilegios administrativos de Azure AD con credenciales comprometidas. Microsoft dijo que esto era particularmente probable si la cuenta en cuestión no está protegida por autenticación multifactor.

Luego, el jueves, CISA dijo que había observado a los piratas informáticos agregando tokens de autenticación y credenciales a cuentas de dominio de Microsoft Active Directory altamente privilegiadas como un mecanismo de persistencia y escalamiento. En muchos casos, CISA dijo que los tokens permiten el acceso a recursos tanto locales como alojados.

Una de las principales formas en que el pirata informático recopila información de la víctima es comprometiendo el certificado de firma del Lenguaje de marcado de aserción de seguridad (SAML) utilizando sus privilegios de Active Directory escalados, dijo CISA. Los servicios de correo electrónico alojados, las aplicaciones de inteligencia empresarial alojadas, los sistemas de viaje, los sistemas de tarjetas de tiempo y los servicios de almacenamiento de archivos (como SharePoint) suelen utilizar SAML, según CISA.

Además, Microsoft dijo el domingo que se observó a los piratas informáticos agregando nuevos fideicomisos de federación a un inquilino existente o modificando las propiedades de un fideicomiso de federación existente para aceptar tokens firmados con certificados propiedad de los piratas informáticos. También podrían usar sus privilegios de administrador para otorgar permisos adicionales a la aplicación de destino o al director de servicio, según Microsoft.

Microsoft observó además que los piratas informáticos agregaban credenciales de contraseña o certificados x509 a procesos legítimos, lo que les otorgaba la capacidad de leer el contenido del correo de Exchange Online a través de Microsoft Graph o Outlook REST. Ejemplos de esto incluyen aplicaciones de archivo de correo, dijo la firma. Los permisos generalmente, pero no siempre, consideran solo la identidad de la aplicación en lugar de los permisos del usuario actual.

“Estas técnicas observadas indican un adversario que es hábil, sigiloso con la seguridad operativa y está dispuesto a gastar recursos significativos para mantener una presencia encubierta”, escribió CISA.

Asesoría en Ciberseguridad

DC CIBER.- Expertos en CIBERSEGURIDADDC CIBER

Le ayudamos a minimizar los riesgos y vulnerabilidades de su empresa en CIBERSEGURIDAD – Asesores en seguridad cibernética

Conseguir el conocimiento y las capacidades organizativas necesarias para poder gestionar la ciberseguridad en la organización. Esta fase supone las bases para las demás.
• Desarrollo normativo, Plan Director y SGSI
• Definición de controles, indicadores y cuadros de mando
• Auditorías de cumplimiento (GDPR, ENS, PIC, …)
• Análisis y gestión de riesgos

Implementar las contramedidas y salvaguardas que aseguren los servicios corporativos. Se trata de tener la capacidad de limitar o de contener el impacto de un suceso o evento de ciberseguridad.
• Asesoramiento en la incorporación de nuevas tecnologías
• Implantación de soluciones tecnológicas de Ciberseguridad
• Fabricación de soluciones y servicios propios

Identificar la ocurrencia de un suceso o evento de ciberseguridad, a tiempo.
Diagnósticos especializados (hackings, código fuente, …)
• Gestión de vulnerabilidades
Red team
• Infraestructuras de monitorización continua
• GMV SOC´s

Medidas de actuación ante un suceso o evento de ciberseguridad para tratar de contener el impacto.
GMV-CERT
SERVICIOS PROACTIVOS:
– Assessments
– Gestión de la configuración
– Inteligencia
SERVICIOS REACTIVOS:
– Gestión de incidencias
– Análisis forense

Enfocado a la recuperación y resiliencia, minimizando el factor tiempo.
Definición y ejecución de:
• BIA
• Plan de Continuidad de Negocio
• Pruebas

Póngase en contacto con nosotros y consúltenos todas sus dudas y preguntas sin compromiso

Contactar
Contactar

Información Sobre CIBERSEGURIDAD

Noticias de DAASEL Corporación Jurídica

Suscripción a DC News

Suscríbase de forma gratuita al newsletter de DAASEL Corporación Jurídica

Noticias de DAASEL Corporación Jurídica