Cómo los piratas informáticos rusos se infiltraron en el gobierno de EE. UU. durante meses sin ser detectados

El Departamento del Tesoro en Washington, DC.

El Departamento del Tesoro en Washington, DC. El Departamento del Tesoro de EE. UU. de *rboed* tiene licencia CC BY 2.0





Miles de empresas y gobiernos se apresuran a descubrir si han sido atacados por los piratas informáticos rusos que, según se informa, se infiltraron en varias agencias gubernamentales de EE. UU. La ruptura inicial, reportado el 13 de diciembre, incluyó el Tesoro, así como los Departamentos de Comercio y Seguridad Nacional. Pero las técnicas sigilosas que utilizaron los piratas informáticos significan que podría llevar meses identificar a todas sus víctimas y eliminar cualquier software espía que hayan instalado.

Para llevar a cabo la brecha, los piratas primero irrumpieron en los sistemas de SolarWinds, una empresa de software estadounidense. Allí, insertaron una puerta trasera en Orion, uno de los productos de la compañía, que las organizaciones usan para ver y administrar grandes redes internas de computadoras. Durante varias semanas a partir de marzo, cualquier cliente que actualizó a la última versión de Orion, firmada digitalmente por SolarWinds y, por lo tanto, aparentemente legítimo, descargó sin darse cuenta el software comprometido, lo que permitió a los piratas informáticos acceder a sus sistemas.

SolarWinds tiene alrededor de 300 000 clientes en todo el mundo, incluidos la mayoría de los Fortune 500 y muchos gobiernos. en un nuevo presentación con la Comisión de Bolsa y Valores, la firma dijo que menos de 18,000 organizaciones alguna vez descargaron la actualización comprometida. (SolarWinds dijo que aún no está claro cuántos de esos sistemas fueron realmente pirateados). La práctica estándar de seguridad cibernética es mantener su software actualizado, por lo que, irónicamente, la mayoría de los clientes de SolarWinds estaban protegidos porque no habían seguido ese consejo.



Los piratas informáticos eran extremadamente inteligentes y estratégicos, dice Greg Touhill, exdirector federal de seguridad de la información. Incluso una vez que obtuvieron acceso a través de la puerta trasera en Orion, conocida como Sunburst, se movieron lenta y deliberadamente. En lugar de infiltrarse en muchos sistemas a la vez, lo que fácilmente podría haber levantado sospechas, se centraron en un pequeño conjunto de objetivos seleccionados, según un reporte de la empresa de seguridad FireEye.

Sunburst permaneció en silencio hasta dos semanas completas antes de despertarse y comenzar a comunicarse con los piratas informáticos, según el informe. El malware disfraza su tráfico de red como el 'Programa de mejora de Orion' y almacena datos dentro de archivos legítimos para camuflarse mejor. También busca herramientas de seguridad y antivirus en la máquina infectada para evitarlos.

Para ocultar aún más sus rastros, los piratas informáticos tuvieron cuidado de usar computadoras y redes para comunicarse con la puerta trasera en un objetivo determinado solo una vez, el equivalente a usar un teléfono desechable para una conversación ilícita. Hicieron un uso limitado de malware porque es relativamente fácil de detectar; en cambio, una vez que tenían acceso inicial a través de la puerta trasera, tendían a optar por la ruta más tranquila de usar credenciales reales robadas para obtener acceso remoto a las máquinas de una víctima. Y el malware que implementaron no reutiliza el código, lo que hizo que el espionaje fuera más difícil de detectar porque los programas de seguridad buscan el código que apareció en ataques anteriores.



Meses sin detectar

Las señales de la campaña de intrusión se remontan a marzo, según los informes de seguridad de Microsoft y FireEye, que revelaron un problema relacionado. incumplimiento de sus propias redes la semana pasada. Eso significa que cualquier organización que sospeche que podría haber sido un objetivo ahora debe revisar al menos 10 meses de registros de sistemas en busca de actividad sospechosa, una tarea que está más allá de la capacidad de muchos equipos de seguridad.

Los piratas informáticos rusos que interfirieron en 2016 fueron vistos apuntando a las elecciones estadounidenses de 2020 Rusia, China e Irán han sido atrapados realizando espionaje cibernético relacionado con la carrera presidencial de EE. UU.

Para ayudar a las organizaciones a determinar si sus sistemas han sido pirateados, FireEye y Microsoft han publicado una larga lista de indicadores de compromiso: datos forenses que podrían mostrar evidencia de actividad maliciosa. Los indicadores incluyen la presencia del propio Sunburst, así como algunas de las direcciones IP que identifican las computadoras y las redes que los piratas informáticos utilizaron para comunicarse con él. Si un equipo encuentra alguna de estas direcciones IP en sus registros de red, es una verdadera señal de malas noticias. Pero dado que los piratas informáticos usaron cada dirección solo una vez, su ausencia no es garantía de seguridad. El descubrimiento de que residen en una red tampoco significa que sea fácil desalojarlos con éxito, ya que pueden explorar la red en busca de nuevos escondites.

Los presuntos piratas informáticos son de SVR de Rusia, la principal agencia de inteligencia extranjera del país. Conocidos alternativamente como Cozy Bear y APT29, han compilado una larga lista de infracciones, incluida la cortar a tajos del Comité Nacional Demócrata en 2016. Rusia niega su participación.



Les ha dado la capacidad de entrar por la puerta trasera en las principales redes, dice Touhill, quien ahora es presidente de Appgate Federal Group, una empresa de infraestructura segura. Tienen la capacidad de sentarse allí, sorber todo el tráfico, analizarlo. Necesitamos prestar mucha atención a qué más buscan estos actores. ¿Dónde más pueden estar? ¿Dónde más pueden estar al acecho? Si tienen acceso, no lo abandonarán fácilmente.

esconder