Hackers rusos irrumpieron en agencias federales de Estados Unidos

Share

En uno de los ataques más sofisticados y quizás más grandes en más de cinco años, los sistemas de correo electrónico fueron violados en los Departamentos del Tesoro y Comercio. Se están investigando otras infracciones.

La administración Trump reconoció que piratas informáticos que actuaban en nombre de un gobierno extranjero, casi con certeza una agencia de inteligencia rusa, según expertos federales y privados, irrumpieron en una variedad de redes gubernamentales clave, incluidos los Departamentos del Tesoro y Comercio, y tuvieron acceso gratuito acceso a sus sistemas de correo electrónico.

Las autoridades dijeron que se estaba investigando para determinar si otras partes del gobierno se habían visto afectadas por lo que parecía ser uno de los ataques más sofisticados, y quizás uno de los más grandes, a los sistemas federales en los últimos cinco años. Varios dijeron que las agencias relacionadas con la seguridad nacional también fueron atacadas, aunque no estaba claro si los sistemas contenían material altamente clasificado.

La administración Trump dijo poco en público sobre el hackeo, que sugería que, si bien el gobierno estaba preocupado por la intervención rusa en las elecciones de 2020, las agencias clave que trabajan para la administración, y no relacionadas con las elecciones, fueron en realidad objeto de un sofisticado ataque que desconocíamos hasta las últimas semanas.

“El gobierno de Estados Unidos está al tanto de estos informes y estamos tomando todas las medidas necesarias para identificar y remediar cualquier posible problema relacionado con esta situación”, dijo John Ullyot, portavoz del Consejo de Seguridad Nacional, en un comunicado. La agencia de ciberseguridad del Departamento de Seguridad Nacional, cuyo líder fue despedido por el presidente Trump el mes pasado por declarar que no había habido un fraude electoral generalizado, dijo en un comunicado que también había sido convocado.

El Departamento de Comercio reconoció que una de sus agencias se había visto afectada, sin nombrarla. Pero parecía ser la Administración Nacional de Telecomunicaciones e Información, que ayuda a determinar la política para problemas relacionados con Internet, incluido el establecimiento de estándares y el bloqueo de importaciones y exportaciones de tecnología que se considera un riesgo para la seguridad nacional.

Fue una medida del pánico repentino que arrasó las oficinas federales que el Departamento de Seguridad Nacional ordenó a todas las agencias el domingo por la noche que cerraran cualquier uso de una pieza compleja de software de administración de red fabricada por una compañía llamada SolarWinds e instalada en redes que pertenecen a agencias gubernamentales. y corporaciones estadounidenses.

El pedido era tan urgente que dio como fecha límite al mediodía del lunes para “un informe de finalización” que confirmara que el software ya no estaba en uso.

Pero eso fue claramente demasiado tarde para las intrusiones que han estado ocurriendo durante meses. El código maligno se ingresó cuando los piratas informáticos irrumpieron en las actualizaciones automáticas periódicas del software, al igual que cuando un iPhone se actualiza durante la noche. SolarWinds ha rastreado esas intrusiones hasta la primavera. Eso significa que los piratas informáticos han tenido rienda suelta durante gran parte del año, aunque no está claro cuántos correos electrónicos y otros sistemas eligieron ingresar.

FireEye, una empresa de seguridad informática que dio la alarma por primera vez sobre la campaña rusa después de que se perforaran sus propios sistemas, dijo que el llamado ataque a la cadena de suministro, que persigue productos externos que se introducen en las redes informáticas, constituía una “técnica comercial operativa de primer nivel.”

El motivo del ataque a la agencia y al Departamento del Tesoro sigue siendo difícil de alcanzar, dijeron dos personas familiarizadas con el asunto. Un funcionario del gobierno dijo que era demasiado pronto para decir qué tan dañinos fueron los ataques y cuánto material se perdió, pero según varios funcionarios corporativos, los ataques habían comenzado ya esta primavera, lo que significa que continuaron sin ser detectados durante los meses de la pandemia y la temporada de elecciones.

La noticia de la violación se produjo menos de una semana después de que la Agencia de Seguridad Nacional, que es responsable de irrumpir en redes informáticas extranjeras y defender los sistemas de seguridad nacional más sensibles de EE. UU., Emitiera una advertencia de que “actores patrocinados por el estado ruso” estaban explotando fallas en un sistema ampliamente utilizado en el gobierno federal.

Trump
Putin
Biden

En ese momento, la N.S.A. se negó a dar más detalles sobre lo que había provocado la advertencia urgente. Poco después, FireEye anunció que los piratas informáticos que trabajaban para un estado habían robado algunas de sus preciadas herramientas para encontrar vulnerabilidades en los sistemas de sus clientes, incluido el del gobierno federal. Esa investigación también apuntó hacia la S.V.R., una de las principales agencias de inteligencia de Rusia. A menudo se le llama Cozy Bear o A.P.T. 29, y es conocido como un recolector tradicional de inteligencia.

Los clientes de FireEye, incluido el Departamento de Seguridad Nacional y las agencias de inteligencia, contratan a la empresa para que lleve a cabo ingeniosos pero benignos ataques a sus sistemas utilizando la gran base de datos de técnicas de la empresa que ha visto en todo el mundo. Sus herramientas de “equipo rojo”, esencialmente imitando a un pirata informático real, se utilizan para tapar los agujeros de seguridad en las redes. Así que los piratas informáticos que robaron las herramientas de FireEye han aumentado su arsenal. Pero parece que FireEye no fue su única víctima.

Los investigadores ahora creen que la campaña global involucró a los piratas informáticos insertando su código en actualizaciones periódicas del software utilizado para administrar redes por una compañía llamada SolarWinds. Sus productos se utilizan ampliamente en redes corporativas y federales, y el malware se minimizó cuidadosamente para evitar su detección.

La compañía, con sede en Austin, Texas, dice que tiene más de 300.000 clientes, incluida la mayoría de las empresas Fortune 500 del país. Pero no está claro cuántos de ellos usan la plataforma Orion que invadieron los piratas informáticos rusos, o si todos eran objetivos.

Si se confirma la conexión con Rusia, será el robo más sofisticado conocido de datos del gobierno estadounidense por parte de Moscú desde una ola de dos años en 2014 y 2015, en la que las agencias de inteligencia rusas obtuvieron acceso a los sistemas de correo electrónico no clasificados en la Casa Blanca. Departamento de Estado y Estado Mayor Conjunto. Se necesitaron años para reparar el daño, pero el presidente Barack Obama decidió en ese momento no nombrar a los rusos como los perpetradores, una medida que muchos en su administración ahora consideran un error.

Envalentonados, el mismo grupo de piratas informáticos invadió los sistemas del Comité Nacional Demócrata y los principales funcionarios de la campaña de Hillary Clinton, desencadenando investigaciones y temores que impregnaron los concursos de 2016 y 2020. Se cree que otra agencia de inteligencia rusa más disruptiva, la G.R.U., es responsable de hacer públicos los correos electrónicos pirateados en el D.N.C.

“Parece haber muchas víctimas de esta campaña, tanto en el gobierno como en el sector privado”, dijo Dmitri Alperovitch, presidente de Silverado Policy Accelerator, un grupo de expertos en geopolítica, quien fue cofundador de CrowdStrike, una firma de ciberseguridad que ayudó a encontrar a los rusos en los sistemas del Comité Nacional Demócrata hace cuatro años. “No muy diferente de lo que habíamos visto en 2014-2015 de este actor, cuando llevaron a cabo una campaña masiva y comprometieron con éxito a numerosas víctimas”.

Rusia ha sido uno de varios países que también ha pirateado instituciones de investigación estadounidenses y compañías farmacéuticas. Este verano, Symantec Corporation advirtió que un grupo de ransomware ruso estaba explotando el cambio repentino en los hábitos de trabajo estadounidenses debido a la pandemia y estaba inyectando código en las redes corporativas con una velocidad y amplitud nunca antes vistas.

Según los investigadores del sector privado, los ataques a FireEye llevaron a una búsqueda más amplia para descubrir dónde más los piratas informáticos rusos podrían haber podido infiltrarse en las redes federales y privadas. FireEye proporcionó algunas piezas clave de código de computadora a la N.S.A. ya Microsoft, dijeron los funcionarios, que fue a la caza de ataques similares en los sistemas federales. Eso llevó a la advertencia de emergencia la semana pasada.

La embajada rusa en Washington negó el domingo por la noche que Moscú se hubiera involucrado en algún pirateo contra el gobierno de Estados Unidos. Rusia, dijo la embajada en un comunicado, “no realiza operaciones ofensivas en el dominio cibernético”.

La mayoría de los ataques implican el robo de nombres de usuario y contraseñas, pero esto era mucho más sofisticado. Una vez que estuvieron en el software de administración de red SolarWinds, los rusos, dijeron los investigadores, pudieron insertar “tokens” falsificados, indicadores esencialmente electrónicos que brindan una garantía a Microsoft, Google u otros proveedores sobre la identidad del sistema informático en el que se encuentran sus sistemas de correo electrónico. Hablando a. Al usar una falla que es extraordinariamente difícil de detectar, los piratas informáticos pudieron engañar al sistema y obtener acceso sin ser detectados.

No está claro exactamente qué extrajeron; la situación recuerda al hackeo chino de la Oficina de Gestión de Personal, que se prolongó durante un año en 2014 y 2015, y la pérdida eventualmente ascendió a más de 22 millones de archivos de autorización de seguridad y más de cinco millones de huellas dactilares.

Eso resultó ser parte de un esfuerzo de recopilación de datos mucho más amplio por parte de Beijing, que involucró el robo de la división de Starwood Hotels de Marriott, la base de datos de seguros Anthem y Equifax, la agencia de informes crediticios.

La historia del robo ruso de datos críticos del gobierno de los EE. UU. se extiende a más de dos décadas y resultó en la creación del Comando Cibernético de los Estados Unidos, la fuerza de guerra cibernética del Pentágono en rápida expansión. Ya a mediados de la década de 1990, el F.B.I. fue convocado para una investigación sobre redes que incluían a Los Alamos y Sandia National Laboratories, que trabajan en diseño de armas nucleares, entre otros temas.

En la mente de algunos expertos, esa operación rusa, entonces llamada Moonlight Maze, nunca terminó realmente.

“La actividad descrita por el nombre, las operaciones cibernéticas rusas contra una amplia variedad de objetivos estadounidenses, continúa hasta el día de hoy”, escribieron Ben Buchanan, ahora en la Universidad de Georgetown, y Michael Sulmeyer, ahora asesor principal de Cyber ​​Command, para el Carnegie Endowment para Paz internacional en 2016.

 


PrisioneroEnArgentina.com

Diciembre 19, 2020


 

0 0 votes
Article Rating
Subscribe
Notify of
guest
14 Comments
Newest
Oldest Most Voted
Inline Feedbacks
View all comments
14
0
Would love your thoughts, please comment.x
()
x