Varias agencias gubernamentales de EE.UU. golpeadas por ‘piratas informáticos rusos’

Los piratas informáticos del gobierno ruso están detrás de una amplia campaña de espionaje que ha comprometido a las agencias estadounidenses, incluidas las de Hacienda y Comercio.


Los piratas informáticos del gobierno ruso están detrás de una amplia campaña de espionaje que ha comprometido a las agencias estadounidenses, incluidas las de Hacienda y Comercio.

Los piratas informáticos del gobierno ruso violaron los departamentos del Tesoro y Comercio, junto con otras agencias gubernamentales de Estados Unidos, como parte de una campaña global de espionaje que se remonta a meses atrás, según personas familiarizadas con el asunto.

Hackers rusos detrás de la campaña de espionaje dirigida a agencias gubernamentales de EE. UU.

https://www.washingtonpost.com/video/world/russian-hackers-behind-espionage-campaign-targeting-us-government-agencies/2020/12/14/6d3dada4-327a-44fa-9121-b1bf8f42c8ae_video.html

Los funcionarios se esforzaron durante el fin de semana para evaluar la naturaleza y el alcance de las intrusiones e implementar contramedidas efectivas, pero las señales iniciales sugirieron que la infracción era de larga duración y significativa, dijeron personas familiarizadas con el asunto.

https://www.washingtonpost.com/video/c/embed/6d3dada4-327a-44fa-9121-b1bf8f42c8ae

Los piratas informáticos rusos, conocidos con los apodos APT29 o Cozy Bear, son parte del servicio de inteligencia exterior de esa nación, el SVR, y violaron los sistemas de correo electrónico en algunos casos, dijeron personas familiarizadas con las intrusiones, que hablaron bajo condición de anonimato porque de la sensibilidad del asunto. El mismo grupo ruso hackeó el Departamento de Estado y los servidores de correo electrónico de la Casa Blanca durante la administración Obama.

El FBI está investigando la campaña, que pudo haber comenzado ya en la primavera y no tuvo comentarios el domingo. Las víctimas incluyen empresas gubernamentales, de consultoría, tecnología, telecomunicaciones y de petróleo y gas en América del Norte, Europa, Asia y Oriente Medio, según FireEye, una empresa cibernética que a su vez fue violada.

La embajada rusa en Washington calificó el domingo los informes de piratería rusa como «infundados». En un comunicado en Facebook, dijo, «los ataques en el espacio de la información contradicen» la política exterior rusa y los intereses nacionales. «Rusia no realiza operaciones ofensivas» en el dominio cibernético.

Todas las organizaciones fueron violadas a través del servidor de actualización de un sistema de administración de red creado por la firma SolarWinds, dijo FireEye en una publicación de blog el domingo.

La Agencia Federal de Seguridad de Infraestructura y Ciberseguridad emitió una alerta el domingo advirtiendo sobre una «explotación activa» de la plataforma SolarWinds Orion, a partir de las versiones del software lanzadas en marzo y junio. «CISA alienta a las organizaciones afectadas a leer los avisos de SolarWinds y FireEye para obtener más información y la página de GitHub de FireEye para contramedidas de detección», dijo la alerta.

SolarWinds dijo el domingo en un comunicado que los productos de monitoreo que lanzó en marzo y junio de este año pueden haber sido armados subrepticiamente en un «altamente sofisticado, dirigido». . . ataque de un estado nacional».

La escala de la operación de espionaje rusa parece ser grande, dijeron varias personas familiarizadas con el asunto. “Esto se ve muy, muy mal”, dijo una persona. Los productos SolarWinds son utilizados por más de 300.000 organizaciones en todo el mundo. Incluyen las cinco ramas del ejército estadounidense, el Pentágono, el Departamento de Estado, el Departamento de Justicia, la NASA, la Oficina Ejecutiva del Presidente y la Agencia de Seguridad Nacional, la principal agencia de espionaje electrónico del mundo, según el sitio web de la firma.

Entre sus clientes también se encuentran las 10 principales empresas de telecomunicaciones de EE. UU.

«Esto es un gran problema, y ​​dado lo que sabemos ahora sobre dónde ocurrieron las infracciones, espero que el alcance crezca a medida que se revisen más registros», dijo John Scott-Railton, investigador principal del Citizen Lab de la Universidad de Toronto. Escuela Munk de Asuntos Globales y Políticas Públicas. “Cuando un grupo agresivo como este obtiene un sésamo abierto a muchos sistemas deseables, lo usarán ampliamente”.

[Se cree que los espías rusos han pirateado FireEye]

FireEye informó la semana pasada que fue violada y que las herramientas de piratería que utiliza para probar las defensas informáticas de los clientes fueron robadas. The Washington Post informó que APT29 era el grupo detrás de ese hack.  FireEye y Microsoft, que estaban investigando la violación, descubrieron que los piratas informáticos estaban obteniendo acceso a las víctimas a través de actualizaciones del software de monitoreo de red Orion de SolarWinds, dijo FireEye en su publicación de blog, sin nombrar públicamente a los rusos.

Reuters informó por primera vez sobre los ataques a los departamentos del Tesoro y Comercio el domingo, diciendo que fueron llevados a cabo por un grupo respaldado por un gobierno extranjero. El enlace de SVR a la campaña más amplia no se informó anteriormente.

El asunto era tan grave que provocó una reunión de emergencia del Consejo de Seguridad Nacional el sábado, informó Reuters.

«El gobierno de Estados Unidos está al tanto de estos informes y estamos tomando todas las medidas necesarias para identificar y remediar cualquier posible problema relacionado con esta situación», dijo el portavoz del Consejo de Seguridad Nacional, John Ullyot. No comentó sobre el país o grupo responsable.

En Comercio, los rusos apuntaron a la Administración Nacional de Telecomunicaciones e Información, una agencia que maneja las políticas de Internet y telecomunicaciones, informó Reuters. También se han relacionado con intentos de robar la investigación de vacunas contra el coronavirus.

[EE. UU., Gran Bretaña y Canadá dicen que espías rusos están tratando de robar la investigación de la vacuna contra el coronavirus]

En 2014 y 2015, el mismo grupo llevó a cabo una amplia campaña de espionaje dirigida a miles de organizaciones, incluidas agencias gubernamentales, embajadas extranjeras, empresas de energía, empresas de telecomunicaciones y universidades.

Como parte de esa operación, pirateó los sistemas de correo electrónico no clasificados de la Casa Blanca , el Estado Mayor Conjunto del Pentágono y el Departamento de Estado.

«Esa fue la primera vez que vimos a los rusos volverse mucho más agresivos, y en lugar de simplemente desvanecerse como fantasmas cuando fueron detectados, en realidad impugnaron el acceso a las redes», dijo Michael Daniel, quien era el coordinador de ciberseguridad de la Casa Blanca en ese momento.

Una de sus víctimas en 2015 fue el Comité Nacional Demócrata. Pero a diferencia de una agencia de espionaje rusa rival, la GRU, que también pirateó el DNC, no filtró el material robado. En 2016, la agencia de espionaje militar GRU filtró correos electrónicos pirateados a la organización anti-secreto en línea WikiLeaks en una operación que interrumpió la convención nacional de los demócratas en medio de la campaña presidencial.

El SVR, por el contrario, generalmente roba información con fines tradicionales de espionaje, buscando secretos que puedan ayudar al Kremlin a comprender los planes y motivos de los políticos y los responsables políticos. Sus operadores también han robado datos industriales y pirateado ministerios de Relaciones Exteriores.

Debido a que la administración Obama vio la operación APT29 como un espionaje tradicional, no consideró tomar medidas punitivas, dijo Daniel, quien ahora es presidente y director ejecutivo de Cyber ​​Threat Alliance, un grupo de intercambio de información para empresas de ciberseguridad.

“Fue la recopilación de información, que es lo que hacen los estados nacionales, incluido Estados Unidos”, dijo. «Desde nuestra perspectiva, era más importante centrarse en apuntalar las defensas».

Pero Chris Painter, coordinador cibernético del Departamento de Estado en la administración Obama, dijo que incluso si la campaña rusa se trata estrictamente de espionaje y no hay una norma contra el espionaje, si el alcance es amplio, debería haber consecuencias. “Simplemente no tenemos que quedarnos quietos y decir ‘buen trabajo’”, dijo.

Las sanciones podrían ser una respuesta, especialmente si se hacen en conjunto con aliados que se vieron afectados de manera similar, dijo. “El problema es que ni siquiera ha habido una condena desde arriba. El presidente Trump no ha querido decir nada malo a Rusia, lo que solo los alienta a actuar de manera irresponsable en una amplia gama de actividades».

Como mínimo, dijo, «querría dejarle en claro [al presidente ruso Vladimir] Putin que esto es inaceptable, el alcance es inaceptable».

Hasta el momento no hay indicios de que la campaña actual se esté llevando a cabo con el propósito de filtrar información o para interrumpir la infraestructura crítica, como las redes eléctricas.

La herramienta de monitoreo de SolarWinds tiene un acceso “administrativo” extremadamente profundo a las funciones centrales de una red, lo que significa que piratear la herramienta permitiría a los rusos buscar libremente los sistemas de las víctimas.

APT29 comprometió SolarWinds para que cada vez que un cliente se registrara para solicitar una actualización, los rusos pudieran subirse a la actualización armada para ingresar al sistema de la víctima. FireEye apodó el malware que los piratas informáticos utilizaron «Sunburst».

“El lunes puede ser un mal día para muchos equipos de seguridad”, tuiteó Dmitri Alperovitch, experto en ciberseguridad y fundador del grupo de expertos Silverado Policy Accelerator.


FUENTE: 

https://www.washingtonpost.com/national-security/russian-government-spies-are-behind-a-broad-hacking-campaign-that-has-breached-us-agencies-and-a-top-cyber-firm/2020/12/13/d5a53b88-3d7d-11eb-9453-fc36ba051781_story.html?itid=hp-top-table-main