Agencias, Ciudad de México.- as agencias del gobierno de Estados Unidos recibieron orden de revisar sus redes en busca de software malicioso y desconectar servidores que podrían haberse visto comprometidos, después de que las autoridades supieran que los departamentos de Comercio y del Tesoro habían sido hackeados.
La campaña de ciberespionaje global, desarrollada durante meses, fue descubierta cuando una importante firma de ciberseguridad supo que había sufrido una incursión.
En una inusual directiva de emergencia emitida el domingo por la noche, la rama de ciberseguridad del Departamento de Seguridad Nacional alertó de un “riesgo inaceptable” debido a una posible penetración a gran escala en las agencias del gobierno estadounidense, que podría haber comenzado a mediados de año o antes.
“Esto puede convertirse en una de las campañas de espionaje de mayor impacto de la que se tenga registro”, dijo el experto en ciberseguridad Dmitri Alperovitch.
La compañía de ciberseguridad afectada, FireEye, no identificó un sospechoso -muchos expertos creen que se trata de una operación rusa dada la cuidadosa ejecución- y señaló que también gobiernos extranjeros y grandes corporaciones habían resultado comprometidas.
Las noticias sobre los ataques, publicadas primero por Reuters, llegaron menos de una semana después de que FireEye dijera que hackers de gobiernos extranjeros habían irrumpido en su red y robado las herramientas de hackeo de la compañía
El mecanismo aparente utilizado en los departamentos de Comercio y el Tesoro -así como el ataque a FireEye es un software de servidor muy popular llamado Solar Winds. Se utiliza en miles de organizaciones en todo el mundo, incluidas la mayoría de las compañías del Fortune 500 y varias agencias federales estadounidenses que ahora intentarán remendar sus redes, indicó Alperovitch, exdirector técnico de la firma de ciberseguridad CrowdStrike.
La directiva del Departamento de Seguridad Nacional -la quinta que emite la institución desde su formación en 2015- indicó que las agencias de Estados Unidos deben desconectar o apagar de inmediato cualquier máquina que utilice el software Solar Winds afectado.
Sin mencionar objetivos concretos, FireEye indicó en un blog que su investigación sobre el ataque a su red había identificado una “campaña global” contra gobiernos y el sector privado, que habría comenzado en primavera e introducido software malicioso en una actualización de software de SolarWinds. Ni la compañía ni las autoridades estadounidenses indicaron si creían que hackers con apoyo del gobierno ruso eran responsables de la operación.
“Cuando toda la información salga a la luz, estimamos que será un episodio muy importante”, dijo John Hultquist, director de análisis de amenazas en FireEye. “El responsable está operando de forma discreta, pero desde luego seguimos encontrando objetivos en los que han logrado operar”.
En su sitio web, SolarWinds indica que sus 300.000 clientes en todo el mundo incluyen a las cinco ramas de las fuerzas armadas de Estados Unidos, el Pentágono, el Departamento de Estado, la NASA, la Agencia de Seguridad Nacional, el Departamento de Justicia y la Casa Blanca. Entre sus clientes también están las 10 principales agencias de telecomunicaciones de Estados Unidos y cinco importantes compañías de contabilidad.
FireEye dijo haber confirmado infecciones en Norteamérica, Europa, Asia y Oriente Medio, incluidos en los sectores de salud, gas y petróleo, y señaló que había ido informando a clientes afectados en todo el mundo en los últimos días.
El software malicioso incluido en la actualización de SolarWinds no parecía incluir un sistema para propagarse sólo, como el software NotPetya de 2016, atribuido a Rusia y que causó más de 10.000 millones de dólares en daños en todo el mundo. Una infiltración en cualquier organización infectada habría requerido “
Eso implica que probablemente, los atacantes sólo espiaron a algunas de las organizaciones infectadas. Los estados tienen prioridades de ciberespionaje, que incluyen el desarrollo de vacunas contra el COVID-19.
El portavoz del Kremlin Dmitry Peskov dijo el lunes que Rusia no había tenido “nada que ver” con el ataque.
“Una vez más, puedo rechazar estas acusaciones”, dijo Peskov a la prensa. “Si durante muchos meses los estadounidenses no pudieron hacer nada al respecto, entonces probablemente uno no debería acusar sin base a los rusos por todo”.
En una entrada en su página de Facebook, la embajada rusa en Estados Unidos describió el domingo como “infundados” los “intentos de los medios estadounidenses de culpar a Rusia por los ciberataques en organismos gubernamentales estadounidenses”.
John Ullyot, portavoz del Consejo de Seguridad Nacional, dijo en un comunicado que estaban “tomando todas las medidas necesarias para identificar y solucionar cualquier posible problema relacionado con esta situación”.
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) del gobierno indicó que ha estado trabajando con otras agencias “en relación a la actividad recientemente descubierta en las redes del gobierno. La CISA ofrece asistencia técnica a las entidades afectadas mientras trabajan para identificar y mitigar cualquier posible riesgo”.
El mes pasado, el presidente Donald Trump despidió al director de la CISA, Chris Krebs, luego de que éste respaldó la integridad de las elecciones presidenciales y refutó las declaraciones de Trump de un fraude electoral a gran escala.
En un tuit el domingo, Krebs dijo que “los ataques de esta clase requieren tiempo y una habilidad excepcional”, y dijo creer que el alcance de la operación apenas empezaba a comprenderse.
Desde hace tiempo, las agencias del gobierno federal han sido blancos atractivos para los hackers extranjeros. Unos hackers vinculados a Rusia pudieron ingresar al sistema de correo electrónico del Departamento de Estado en 2014, infectándolo a tal grado que tuvo que ser retirado del internet mientras los expertos trabajaban para eliminar la plaga.
Reuters reportó el domingo que un grupo respaldado por un gobierno extranjero robó información del Tesoro y de una agencia del Departamento de Comercio responsable de decidir las políticas de internet y telecomunicaciones. De acuerdo con diversos reportes, a las agencias de inteligencia les preocupa que otras dependencias hayan sido hackeadas con herramientas similares.
El Departamento del Tesoro canalizó los comentarios al Consejo de Seguridad Nacional. Por su parte, un portavoz del Departamento de Comercio confirmó una “irrupción en una de nuestras oficinas” y dijo que “hemos pedido a la CISA y al FBI investigar” lo ocurrido.
FireEye dijo el jueves pasado que hackers de gobiernos extranjeros con “capacidades de clase mundial” irrumpieron en su red y robaron herramientas ofensivas que utiliza para analizar las defensas de sus miles de clientes.
En un principio, los hackers “buscaron información relacionada con clientes específicos del gobierno”, dijo Kebin Mandia, director general de FireEye en un comunicado, sin dar a conocer nombres. Añadió que no había indicios de que hubieran recopilado información de los clientes de su empresa de consultoría o de la de negocios de respuesta a irrupciones o de los datos de inteligencia de amenazas que colecta.
FireEye es uno de los principales protagonistas en materia de ciberseguridad —fue el que respondió a los hackeos de Sony y Equifax y ayudó a Arabia Saudí a frustrar un ciberataque a la industria petrolera— y ha tenido un papel importante en identificar a Rusia como el protagonista de varias agresiones en el floreciente inframundo del conflicto digital mundial.
Ni Mandia ni el portavoz de FireEye dijeron cuándo la compañía detectó el hackeo o quién sería el responsable. Sin embargo, muchas personas de la comunidad de seguridad cibernética sospechan de Rusia.
Miles de empresas también investigan
La empresa de tecnología de la información estadounidense SolarWinds, que ha sido la puerta clave que usaron los hackers, dijo que hasta 18.000 de sus clientes habían descargado una actualización de software que permitió a los intrusos espiar a empresas y oficinas públicas sin ser vistos durante nueve meses.
Estados Unidos emitió una advertencia de emergencia el domingo, ordenando a los usuarios desconectar y desactivar el software de SolarWinds que, según dijo, había sido comprometido por “agentes maliciosos”.
La advertencia se produjo después de que Reuters informó que presuntos piratas informáticos rusos habían usado actualizaciones de software para entrar en múltiples agencias del gobierno estadounidense, incluidos los departamentos del Tesoro y de Comercio.
Rusia negó que haya tenido conexión con los ataques.
Uno de las fuentes sostuvo que el correo electrónico del DHS se había visto comprometido, pero no la red crítica que utiliza la división de ciberseguridad para proteger la infraestructura.
El Departamento de Seguridad Nacional dijo que estaba al corriente de los reportes, sin confirmar directamente los ataques o qué tan grave fueron.
El DHS es un enorme aparato burocrático responsable de la seguridad fronteriza, la ciberseguridad y, más recientemente, de la distribución segura de la vacuna contra el COVID-19.
La unidad de ciberseguridad de la agencia, conocida como CISA, fue debilitada por el despido de su jefe Chris Krebs, por parte del presidente Donald Trump, después de que el funcionario dijo que las elecciones presidenciales habían sido las más seguras de la historia de Estados Unidos. Su segundo y el jefe electoral también se fueron.
Puerta Trasera
SolarWinds, que dice que entre sus clientes se encuentran la mayoría de las compañías Fortune 500 de Estados Unidos, informó que “cree actualmente que el número real de clientes que pueden haber tenido una instalación de los productos Orion que contenían la vulnerabilidad es menor de 18.000”.
Dos personas con conocimiento de la investigación le dijeron a Reuters que cualquier organización que tuviera una versión actualizada del software de gestión de red Orion de la compañía habría tenido una “puerta trasera” instalada por los atacantes en sus sistemas informáticos.
“Después de eso, es sólo cuestión de si los atacantes deciden aprovechar más ese acceso”, dijo una de las fuentes.
FireEye, una destacada empresa de seguridad cibernética que fue vulnerada en relación con el incidente, dijo en una entrada de blog que otros blancos incluían “entidades gubernamentales, de consultoría, de tecnología, de telecomunicaciones y de extracción en América del Norte, Europa, Asia y Oriente Medio”.
“Si se trata de espionaje cibernético, entonces es una de las campañas más eficaces que hemos visto en bastante tiempo”, dijo John Hultquist, director de análisis de inteligencia de FireEye.
Debido a que los atacantes pueden usar SolarWinds para entrar en una red y luego crear una nueva puerta trasera, la simple desconexión del programa de administración de red no es suficiente para sacar a los hackers, dijeron expertos.
