Recuperarse del hackeo de SolarWinds podría llevar 18 meses

vista del edificio del capitolio de los estados unidos

Jorge Acala/Unsplash





La recuperación total del ataque a SolarWinds le llevará al gobierno de EE. UU. de un año a 18 meses, según el jefe de la agencia que lidera la recuperación de Washington.

La campaña de piratería contra las agencias gubernamentales estadounidenses y las principales empresas se descubrió por primera vez en noviembre de 2020. Se atacaron al menos nueve agencias federales, incluido el Departamento de Seguridad Nacional y el Departamento de Estado. Los atacantes, que los funcionarios estadounidenses creen que son rusos, explotaron un producto fabricado por la empresa de software estadounidense SolarWinds para piratear objetivos gubernamentales y corporativos.

Brandon Wales, el director interino de CISA, la Agencia de Infraestructura y Ciberseguridad de EE. UU., dice que será hasta bien entrado 2022 antes de que los funcionarios hayan asegurado completamente las redes gubernamentales comprometidas. Incluso comprender completamente el alcance del daño llevará meses.



No llamaría a esto simple, dice Wales. Hay dos fases para la respuesta a este incidente. Existe el esfuerzo de remediación a corto plazo, donde buscamos eliminar al adversario de la red, cerrando las cuentas que controlan y cerrando los puntos de entrada que el adversario usó para acceder a las redes. Pero dada la cantidad de tiempo que estuvieron dentro de estas redes (meses), la recuperación estratégica llevará tiempo.

'Dada la cantidad de tiempo que estuvieron dentro de estas redes... la recuperación estratégica llevará tiempo'.

Brandon Gales, CISA

Cuando los piratas informáticos han tenido tanto éxito y durante tanto tiempo, la respuesta a veces puede ser una reconstrucción completa desde cero. Los piratas informáticos se aseguraron de socavar la confianza en las redes objetivo, robar identidades y obtener la capacidad de suplantar o crear usuarios aparentemente legítimos para acceder libremente a las cuentas de Microsoft 365 y Azure de las víctimas. Al tomar el control de la confianza y la identidad, los piratas informáticos se vuelven mucho más difíciles de rastrear.



La mayoría de las agencias que pasan por ese nivel de reconstrucción tardarán entre 12 y 18 meses en asegurarse de que están implementando las protecciones adecuadas, dice Wales.

Las agencias de inteligencia estadounidenses dicen que los piratas informáticos rusos se infiltraron por primera vez en 2019. Investigaciones posteriores han demostrado que los piratas informáticos comenzaron a usar los productos de la compañía para distribuir malware en marzo de 2020, y su primera violación exitosa del gobierno federal de EE. UU. se produjo a principios del verano. Es mucho tiempo para pasar desapercibido, más tiempo del que muchas organizaciones mantienen el tipo de registros forenses costosos que necesita para realizar el nivel de investigación requerido para detectar a los piratas informáticos.

SolarWinds Orion, el producto de gestión de redes al que se apuntaba, se utiliza en decenas de miles de corporaciones y agencias gubernamentales. Más de 17 000 organizaciones descargaron la puerta trasera infectada. Los piratas informáticos eran extraordinariamente sigilosos y específicos en sus objetivos, razón por la cual tomó tanto tiempo atraparlos y por qué se está tardando tanto en comprender su impacto total.



La dificultad de descubrir el alcance del daño fue resumida por Brad Smith, presidente de Microsoft, en una audiencia en el Congreso la semana pasada.

¿Quién sabe la totalidad de lo que pasó aquí? él dijo. En este momento, el atacante es el único que sabe la totalidad de lo que hizo.

Kevin Mandia, director ejecutivo de la empresa de seguridad FireEye, que emitió las primeras alertas sobre el ataque, dijo al Congreso que los piratas informáticos priorizaron el sigilo por encima de todo.



La interrupción habría sido más fácil que lo que hicieron, dijo. Tenían un robo de datos enfocado y disciplinado. Es más fácil simplemente eliminar todo en un traumatismo por fuerza contundente y ver qué sucede. De hecho, hicieron más trabajo del que se hubiera necesitado para ser destructivos.

'Esto tiene un resquicio de esperanza'

CISA se enteró por primera vez de un problema cuando FireEye descubrió que había sido pirateado y notificó a la agencia. La empresa suele trabajar en estrecha colaboración con el gobierno de los EE. UU. y, aunque no estaba legalmente obligada a contarle a nadie sobre el ataque, rápidamente compartió la noticia del compromiso con redes corporativas confidenciales.

Fue Microsoft quien le dijo al gobierno de los EE. UU. que las redes federales se habían visto comprometidas. La compañía compartió esa información con Wales el 11 de diciembre, dijo en una entrevista. Microsoft observó a los piratas informáticos irrumpir en la nube de Microsoft 365 que utilizan muchas agencias gubernamentales. Un día después, FireEye informó a CISA de la puerta trasera en SolarWinds, una herramienta poco conocida pero extremadamente extendida y poderosa.

Esto indicó que la escala del hack podría ser enorme. Los investigadores de CISA terminaron trabajando directamente durante las vacaciones para ayudar a las agencias a buscar a los piratas informáticos en sus redes.

Estos esfuerzos se complicaron aún más porque Wales acababa de hacerse cargo de la agencia: días antes, el exdirector Chris Krebs había sido despedido por Donald Trump por desacreditar repetidamente la desinformación de la Casa Blanca sobre unas elecciones robadas.

Después de que Trump despide al director de CISA, la agencia está lista para volverse aún más poderosa Un despido dramático por tuit hace poco para alterar el apoyo bipartidista para convertirlo en la principal agencia de seguridad cibernética del país.

Si bien los titulares sobre el despido de Krebs se centraron en el impacto inmediato en la seguridad electoral, Wales tenía mucho más en sus manos.

El nuevo hombre a cargo de CISA ahora se enfrenta a lo que él describe como el incidente de piratería más complejo y desafiante al que se ha enfrentado la agencia.

Es casi seguro que el hack acelerar el ya aparente ascenso de CISA aumentando su financiación, autoridad y apoyo.

CISA recibió recientemente la autoridad legal para buscar persistentemente amenazas cibernéticas en todo el gobierno federal, pero Wales dice que la agencia carece de los recursos y el personal para llevar a cabo esa misión. Argumenta que CISA también debe poder implementar y administrar sistemas de detección de puntos finales en computadoras en todo el gobierno federal para detectar comportamientos maliciosos. Finalmente, señalando el hecho de que los piratas informáticos se movían libremente por la nube de Microsoft 365, Wales dice que CISA debe impulsar una mayor visibilidad en el entorno de la nube para detectar el espionaje cibernético en el futuro.

En el último año, los partidarios de CISA han estado presionando para que se convierta en la principal agencia de ciberseguridad del país. Un desastre de ciberseguridad sin precedentes podría ser el catalizador que necesita.

Esto tiene un resquicio de esperanza, dijo Mark Montgomery, quien se desempeñó como director ejecutivo de la Comisión Cyberspace Solarium, en una llamada telefónica. Este es uno de los actos cibernéticos maliciosos más importantes jamás realizados contra el gobierno de los EE. UU. La historia continuará empeorando durante varios meses a medida que se revele una mayor comprensión de lo que sucedió. Eso ayudará a centrar la administración entrante en este tema. Tienen muchas prioridades, por lo que sería fácil que los cibernéticos se perdieran en el desorden. Eso no va a suceder ahora.

esconder