Agencias estadounidenses pirateadas en una campaña mundial de ciberespionaje de un mes

Nacional

FILE – The U.S. Treasury Department building viewed from the Washington Monument, Wednesday, Sept. 18, 2019, in Washington. Hackers got into computers at the U.S. Treasury Department and possibly other federal agencies, touching off a government response involving the National Security Council. Security Council spokesperson John Ullyot said Sunday, Dec. 13, 2020 that the government is aware of reports about the hacks. (AP Photo/Patrick Semansky, file)

WASHINGTON (AP) – Se ordenó a las agencias del gobierno de Estados Unidos que rastrearan sus redes en busca de malware y desconectaran los servidores potencialmente comprometidos después de que las autoridades supieran que los departamentos del Tesoro y Comercio fueron pirateados en una campaña global de ciberespionaje de un mes de duración cuando una destacada firma de ciberseguridad se enteró de que había sido violada.

En una directiva de emergencia poco común emitida el domingo por la noche, el brazo de ciberseguridad del Departamento de Seguridad Nacional advirtió sobre un “riesgo inaceptable” para el poder ejecutivo debido a una temida penetración a gran escala de agencias gubernamentales de Estados Unidos que podría remontarse a mediados de año o antes.

“Esto puede convertirse en una de las campañas de espionaje más impactantes registradas”, dijo el experto en ciberseguridad Dmitri Alperovitch.

La empresa de ciberseguridad pirateada, FireEye, no dijo de quién sospechaba (muchos expertos creen que la operación es rusa dada la cuidadosa técnica) y señaló que los gobiernos extranjeros y las principales corporaciones también se vieron comprometidas.

Las noticias de los ataques, informadas por primera vez por Reuters, se produjeron menos de una semana después de que FireEye revelara que los piratas informáticos estatales habían irrumpido en su red y robado las propias herramientas de piratería de la compañía.

El conducto aparente para los hackeos del Departamento del Tesoro y Comercio, y el compromiso de FireEye, es una pieza de software de servidor muy popular llamada SolarWinds . Es utilizado por cientos de miles de organizaciones en todo el mundo, incluidas la mayoría de las empresas Fortune 500 y varias agencias federales de EE. UU. Que ahora se esforzarán por reparar sus redes, dijo Alperovitch, ex director técnico de la firma de ciberseguridad CrowdStrike.

La directiva DHS, que es la quinta desde que se crearon en 2015, dice que las agencias estadounidenses deben desconectar o apagar de inmediato cualquier máquina que ejecute el software SolarWinds afectado.

FireEye, sin nombrar ningún objetivo específico, dijo en una publicación de blog que su investigación sobre el pirateo de su propia red había identificado una “campaña global” dirigida a gobiernos y al sector privado que, a partir de la primavera, había introducido malware en un software SolarWinds. actualizar. Ni la empresa ni el gobierno de EE. UU. Identificaron públicamente a los piratas informáticos rusos respaldados por el estado como responsables.

El malware les dio a los piratas informáticos acceso remoto a las redes de las víctimas, y Alperovitch dijo que SolarWinds otorga acceso “en modo Dios” a una red, haciendo que todo sea visible.

“Anticipamos que este será un evento muy grande cuando toda la información salga a la luz”, dijo John Hultquist, director de análisis de amenazas de FireEye. “El actor está operando sigilosamente, pero ciertamente todavía estamos encontrando objetivos en los que logran operar”.

En su sitio web, SolarWinds dice que tiene 300.000 clientes en todo el mundo, incluidas las cinco ramas del ejército de los EE. UU., El Pentágono, el Departamento de Estado, la NASA, la Agencia de Seguridad Nacional, el Departamento de Justicia y la Casa Blanca. Dice que las 10 principales empresas de telecomunicaciones de EE. UU. Y las cinco principales empresas de contabilidad de EE. UU. También se encuentran entre sus clientes.

FireEye dijo que había confirmado infecciones en América del Norte, Europa, Asia y Medio Oriente, incluso en la industria de la atención médica y del petróleo y el gas, y había estado informando a los clientes afectados de todo el mundo en los últimos días. Sus clientes incluyen gobiernos federales, estatales y locales y las principales corporaciones globales.

Dijo que el malware que se instaló en la actualización de SolarWinds no generó malware de autopropagación, como el malware NotPetya atribuido a Rusia que causó más de $ 10 mil millones en daños a nivel mundial, y que cualquier infiltración real de una organización infectada requería “planificación meticulosa e interacción manual . “

Eso significa que es una buena apuesta que solo un subconjunto de organizaciones infectadas estaban siendo espiadas por los piratas informáticos. Los estados-nación tienen sus prioridades de ciberespionaje, que incluyen el desarrollo de la vacuna COVID-19.

El domingo, la embajada de Rusia en Estados Unidos describió como “infundados” en una publicación en su página de Facebook los “intentos de los medios estadounidenses de culpar a Rusia por los ataques de piratas informáticos a organismos gubernamentales estadounidenses”.

El Departamento del Tesoro remitió las solicitudes de comentarios al Consejo de Seguridad Nacional, cuyo portavoz, John Ullyot, dijo que el gobierno estaba “tomando todas las medidas necesarias para identificar y remediar cualquier posible problema relacionado con esta situación”.

La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno dijo que estaba trabajando con otras agencias para ayudar a “identificar y mitigar cualquier compromiso potencial”. El FBI dijo que estaba participando en una respuesta, pero se negó a comentar más.

El mes pasado, el presidente Donald Trump despidió al director de CISA, Chris Krebs, después de que Krebs avalara la integridad de la elección presidencial y cuestionara las acusaciones de Trump de fraude electoral generalizado.

En un tweet del domingo, Krebs dijo que “los hacks de este tipo requieren un trabajo y un tiempo excepcionales”, y agregó que creía que su impacto apenas comenzaba a entenderse.

Las agencias federales han sido durante mucho tiempo objetivos atractivos para los piratas informáticos extranjeros que buscan obtener información sobre el personal del gobierno estadounidense y la formulación de políticas.

Los piratas informáticos vinculados a Rusia, por ejemplo, pudieron irrumpir en el sistema de correo electrónico del Departamento de Estado en 2014, infectándolo tan profundamente que tuvo que ser desconectado de Internet mientras los expertos trabajaban para eliminar la infestación. Un año después, un ataque a la oficina de personal del gobierno de los EE. UU. Atribuido a China comprometió la información personal de unos 22 millones de empleados federales actuales, anteriores y potenciales, incluidos datos altamente sensibles como investigaciones de antecedentes.

Las intrusiones reveladas el domingo incluyeron a la agencia del Departamento de Comercio responsable de la política de Internet y telecomunicaciones. Un portavoz confirmó una “violación en una de nuestras oficinas” y dijo que “le hemos pedido a CISA y al FBI que investiguen”.

SolarWinds, con sede en Austin, Texas, confirmó el domingo una “vulnerabilidad potencial” relacionada con las actualizaciones publicadas entre marzo y junio para productos de software llamados Orion que ayudan a monitorear las redes en busca de problemas.

“Creemos que esta vulnerabilidad es el resultado de un ataque manual, dirigido y altamente sofisticado a la cadena de suministro por parte de un estado nacional”, dijo Kevin Thompson, CEO de SolarWinds, en un comunicado. Dijo que estaba trabajando con el FBI, FireEye y la comunidad de inteligencia.

FireEye anunció el martes que había sido pirateado, diciendo que piratas informáticos de estados extranjeros con “capacidades de clase mundial” irrumpieron en su red y robaron las herramientas que utiliza para sondear las defensas de sus miles de clientes. Los piratas informáticos “buscaban principalmente información relacionada con ciertos clientes del gobierno”, dijo el director ejecutivo de FireEye, Kevin Mandia, en un comunicado, sin nombrarlos.

El ex pirata informático de la NSA, Jake Williams, presidente de la firma de ciberseguridad Rendition Infosec, dijo que FireEye seguramente le dijo al FBI y a otros socios federales cómo había sido pirateado y determinaron que el Tesoro se había comprometido de manera similar.

“Sospecho que hay varias otras agencias (federales) de las que vamos a escuchar esta semana que también han sido afectadas”, agregó Williams.

FireEye respondió a las filtraciones de datos de Sony y Equifax y ayudó a Arabia Saudita a frustrar un ciberataque de la industria petrolera, y ha desempeñado un papel clave en la identificación de Rusia como protagonista de numerosas agresiones en el floreciente inframundo del conflicto digital global.

Mandia dijo que no había indicios de que obtuvieran información del cliente de los negocios de consultoría o respuesta a violaciones de la compañía o de los datos de inteligencia de amenazas que recopila.

___

Bajak informó desde Boston y O’Brien desde Providence, Rhode Island.

ÚLTIMAS HISTORIAS:

Copyright 2021 Nexstar Inc. All rights reserved. This material may not be published, broadcast, rewritten, or redistributed.

No te lo pierdas

More NO TE LO PIERDAS