Ciberataque estadounidense: la agencia de ciberseguridad advierte sobre una campaña de piratería informática rusa más amplia de lo que se creía


La noticia probablemente solo agravará las preocupaciones ya crecientes sobre la escala y el alcance de la filtración de datos, que CISA dijo el jueves «representa un grave riesgo» para las redes tanto del sector público como del privado.

«CISA ha determinado que esta amenaza representa un grave riesgo para el Gobierno Federal y los gobiernos estatales, locales, tribales y territoriales, así como para las entidades de infraestructura crítica y otras organizaciones del sector privado», dijo la alerta emitida por la agencia. «CISA espera que eliminar a este actor de amenazas de entornos comprometidos será muy complejo y desafiante para las organizaciones».

La agencia también reconoció el jueves que los piratas informáticos utilizaron «tácticas, técnicas y procedimientos que aún no se han descubierto», y agregó que continúa investigando si, y cómo, otros métodos de intrusión pueden haberse utilizado desde que comenzó la campaña hace meses.

El análisis se produce cuando la lista de agencias estadounidenses, empresas privadas y otras entidades afectadas por la campaña de piratería continúa aumentando.

Horas después de la publicación de la alerta CISA, el Departamento de Energía de EE. UU. Dijo que tenía evidencia de que los piratas informáticos accedieron a algunas de sus redes utilizando el mismo malware asociado con la violación de datos en curso que ya afecta a casi media docena de agencias federales.

El departamento sostiene que el impacto se ha «aislado a las redes comerciales» y «no ha afectado las funciones esenciales de seguridad nacional de la misión del Departamento, incluida la Administración Nacional de Seguridad Nuclear (NNSA)», que supervisa el arsenal de armas nucleares de la nación.

La portavoz del Departamento de Energía, Shaylyn Hynes, también dijo que una vez que el departamento identificó su software vulnerable, «se tomaron medidas inmediatas para mitigar el riesgo y todo el software identificado como vulnerable a este ataque se desconectó de la red del DOE».

Politico fue el primero en informar una posible intrusión en el DOE.

Microsoft ha identificado a más de 40 de sus clientes en todo el mundo que tenían instaladas versiones problemáticas de un programa de administración de TI de terceros y que fueron el blanco específico de la supuesta campaña de piratería rusa divulgada esta semana, dijo la compañía en una publicación de blog el jueves. La compañía de tecnología dijo que el 80% de esas víctimas están en Estados Unidos, mientras que el resto se encuentra en otros siete países: Canadá, México, Bélgica, España, Reino Unido, Israel y Emiratos Árabes Unidos.

«Es una certeza que el número y la ubicación de las víctimas seguirá creciendo», dijo el presidente de Microsoft, Brad Smith, quien agregó que la compañía ha trabajado para notificar a las organizaciones afectadas.

Búsqueda del alma y señalar con el dedo

La intrusión extraordinaria y de amplio alcance ha lanzado una misión técnica de examen de conciencia entre los principales funcionarios cibernéticos del gobierno y expertos externos sobre cómo esta campaña cibernética en curso de meses de duración logró pasar desapercibida durante tanto tiempo.

El miércoles por la noche, las principales agencias de seguridad del gobierno de EE. UU. Reconocieron formalmente en un comunicado conjunto que la campaña cibernética en curso todavía estaba activa. Las revelaciones llegan en un momento particularmente tenso durante una transición presidencial divisiva y después de una elección que, según todos los informes, estuvo libre de interferencia extranjera.

La declaración conjunta del miércoles del FBI, la comunidad de inteligencia y el brazo cibernético del Departamento de Seguridad Nacional sirvió en parte como una admisión de sus propias deficiencias, afirmando claramente que los encargados de proteger a la nación de las amenazas cibernéticas extranjeras solo se enteraron de la intrusión masiva en el país. pasados ​​»varios días».

Si bien los funcionarios estadounidenses dijeron que solo se enteraron de la violación de datos en los últimos días, el otoño pasado surgió un indicador temprano de los problemas de seguridad de SolarWinds, luego de que un investigador independiente se comunicó con la compañía diciendo que había encontrado uno de sus servidores de actualización en la Internet pública.

El servidor estaba protegido por una contraseña débil: «solarwinds123», según el investigador Vinoth Kumar. Los correos electrónicos revisados ​​por FGTELEVISION sobre el intercambio de Kumar mostraron que SolarWinds corrigió el problema de las credenciales, pero Kumar le dijo a FGTELEVISION que determinó que el servidor era accesible para el público desde al menos junio de 2018.

SolarWinds declinó hacer comentarios.

Exasesor del DHS bajo Trump pide acciones urgentes para abordar el presunto ciberataque ruso

La campaña cibernética en curso en sí comenzó ya en marzo de este año, dijo CISA el jueves, pero los expertos le dijeron a FGTELEVISION que los piratas informáticos probablemente accedieron a las redes gubernamentales antes de esa fecha.

«Parece que los rusos tuvieron de seis a nueve meses de ‘acceso persistente’ a algunas redes del Departamento de Seguridad Nacional», dijo Tony Lawrence, director ejecutivo y fundador de Light Rider, una firma de ciberseguridad que tiene clientes tanto en el sector público como en el privado. «Si este es el caso, significa que los rusos tenían la capacidad de navegar por todas las redes y controlar determinadas redes de seguridad nacional de Estados Unidos durante este tiempo».

Desde entonces, varias fuentes han confirmado que el gobierno de EE. UU. No estaba al tanto de la violación hasta el final de la semana pasada o cuando CISA se hizo pública el domingo por la noche, lo que generó preocupaciones sobre cómo los piratas informáticos lograron seguir evadiendo la detección de estas agencias durante varios meses.

«Es complicado en el sentido, la forma en que nuestro gobierno está organizado, ni siquiera está claro dado nuestro marco existente en este país, qué agencia tendría realmente la jurisdicción primaria sobre todo este asunto», presidente interino del Comité de Inteligencia del Senado, Florida Republican El senador Marco Rubio, dijo a FGTELEVISION el jueves.

Trump permanece en silencio mientras el ciberataque masivo representa un 'grave riesgo'  al gobierno

Los expertos en seguridad también han expresado su preocupación por la eliminación por parte de la administración Trump del puesto de coordinador cibernético en el Consejo de Seguridad Nacional. FGTELEVISION informó en ese momento que la eliminación, que se produjo apenas unas semanas después del mandato del exasesor de seguridad nacional John Bolton, era parte de un esfuerzo por «simplificar la autoridad de los directores superiores del Consejo de Seguridad Nacional».

«No hay una persona cuyo trabajo sea coordinar toda la respuesta del gobierno en este momento en esta administración», dijo Carrie Cordero, investigadora principal y asesora general del Centro para una Nueva Seguridad Estadounidense y analista legal y de seguridad nacional de FGTELEVISION. «A pesar de lo que serán buenos esfuerzos por parte de la gente en los niveles de trabajo en todas las agencias, eso no reemplaza al liderazgo de alto nivel, que no creo que exista hasta la próxima administración».

Los comités de inteligencia de la Cámara y el Senado fueron informados sobre el asunto el miércoles, pero desde entonces los legisladores dejaron en claro que todavía hay más preguntas que respuestas. Los Comités de Supervisión y Seguridad Nacional de la Cámara de Representantes enviaron una carta a los principales funcionarios de seguridad nacional de la nación el jueves solicitando más información sobre la investigación en curso.

Los funcionarios estadounidenses y los expertos en seguridad cibernética advierten que el incidente debería servir como una llamada de atención tanto para el gobierno federal, incluida la administración entrante de Biden, como para las empresas del sector privado, ya que los actores extranjeros indudablemente realizarán ataques similares y mejorarán sus tácticas. en el futuro.

¿Que viene despues?

En el futuro, es probable que se incremente el escrutinio del sistema EINSTEIN del Departamento de Seguridad Nacional, que tiene como objetivo prevenir intrusiones y detectar tráfico malicioso en las redes informáticas federales.

El sistema se basa en la búsqueda de actividad maliciosa conocida y funciona bien si sabe lo que está buscando, según un ex alto funcionario del DHS.

«Si no sabe lo que está buscando, es un problema», dijo el funcionario, y agregó que probablemente generará preocupaciones entre los legisladores que han asignado miles de millones de dólares para el programa. La administración entrante de Biden tendrá que «examinar detenidamente a Einstein», dijo el ex funcionario.

En 2018, la Oficina de Responsabilidad Gubernamental, que actúa como organismo de control del Congreso, concluyó que aún existían limitaciones en el sistema que administra EINSTEIN, a pesar de algunas mejoras.

Sin embargo, no está claro si los sistemas actuales implementados habrían detectado el último hack.

«Incluso si todo fuera muy eficaz en la seguridad cibernética del gobierno, es muy probable que esta violación no se hubiera detectado», dijo Vijay A. D’Souza, director de GAO en el equipo de tecnología de la información y seguridad cibernética, basándose en una investigación externa realizada sobre el incidente. GAO aún no ha realizado un análisis independiente.

«Las agencias van a tener que seguir haciendo más para construir todas las piezas del rompecabezas, así que si son pirateadas, ¿cómo pueden averiguar qué sucedió y limpiar después en caso de que no puedan detectar algo?».

D’Souza dijo que las agencias carecen de sus capacidades de «registro», es decir, la capacidad de volver atrás y mirar una red y averiguar qué ocurrió a raíz de una infracción.

«Nuestro trabajo ha encontrado en general que las agencias no conservan suficientes datos. No tienen la capacidad de reunirlos y no tienen la capacidad de resolver ese tipo de investigación», dijo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *