El hackeo ruso a empresas tecnológicas y contables en EE.UU.

Un análisis del Wall Street Journal identificó al menos 24 organizaciones que instalaron software con código malicioso de hackers rusos.

Los presuntos piratas informáticos rusos detrás de las infracciones en las agencias gubernamentales de EE. UU. También obtuvieron acceso a las principales empresas de tecnología y contabilidad de EE. UU., Al menos un hospital y una universidad, según un análisis de Wall Street Journal de registros de Internet.

El Journal identificó computadoras infectadas en dos docenas de organizaciones que instalaron un software de monitoreo de red contaminado llamado SolarWinds Orion que permitió a los piratas informáticos ingresar a través de una puerta trasera insertada de manera encubierta. Les dio acceso potencial a muchos datos corporativos y personales sensibles.

Cisco Systems Inc

Entre ellos: el gigante tecnológico Cisco Systems Inc., los fabricantes de chips Intel Corp. y Nvidia Corp., la firma de contabilidad Deloitte LLP, el fabricante de software de computación en la nube VMware Inc. y Belkin International Inc., que vende enrutadores y redes Wi-Fi para el hogar y la oficina. equipo de las marcas LinkSys y Belkin. Los atacantes también tuvieron acceso al Departamento de Hospitales del Estado de California y a la Universidad Estatal de Kent.

SolarWinds Corp

Las víctimas ofrecen una pequeña ventana al amplio alcance del ataque, que podría haber atrapado a hasta 18.000 clientes de SolarWinds Corp., con sede en Austin, dijo la compañía, después de que los piratas informáticos conectaran una actualización de software de rutina con código malicioso.

SolarWinds dijo que rastreó la actividad de los piratas informáticos hasta al menos octubre de 2019 y que ahora está trabajando con empresas de seguridad, fuerzas del orden y agencias de inteligencia para investigar el ataque.

Cisco confirmó que encontró el software malicioso en algunos sistemas de empleados y en una pequeña cantidad de sistemas de laboratorio. La empresa aún está investigando. «En este momento, no hay ningún impacto conocido en las ofertas o productos de Cisco», dijo un portavoz de la empresa.

Intel

Intel descargó y ejecutó el software malicioso, encontró el análisis del Journal. La compañía está investigando el incidente y no ha encontrado evidencia de que los piratas informáticos usaran la puerta trasera para acceder a la red de la compañía, dijo un portavoz.

Deloitte

Deloitte, infectado a fines de junio según el análisis del Journal, dijo que «ha tomado medidas para abordar» el malware, pero que no ha «observado indicios de acceso no autorizado a nuestros sistemas en este momento».

VMware

VMware dijo que encontró «instancias limitadas» del software malicioso en sus sistemas, pero su «investigación interna no ha revelado ningún indicio de explotación», dijo un portavoz.

Belkin

Belkin dijo en un correo electrónico que retiró la puerta trasera inmediatamente después de que los funcionarios federales emitieron una alerta la semana pasada. «No se ha identificado ningún impacto negativo hasta la fecha», dijo una portavoz de la empresa.

Una portavoz de la Universidad Estatal de Kent dijo que la escuela «estaba al tanto de la situación y está evaluando este grave asunto».

El Departamento de Hospitales Estatales de California instaló la puerta trasera a principios de agosto, según el análisis del Journal. Los funcionarios estatales están trabajando con agencias federales y estatales para abordar el impacto de la puerta trasera de SolarWinds, según un portavoz de la Oficina de Servicios de Emergencia del Gobernador de California, quien se negó a comentar sobre las agencias específicas afectadas.

Un portavoz de Nvidia dijo que la compañía «no tiene evidencia en este momento de que Nvidia se haya visto afectada negativamente y nuestra investigación está en curso».

Empresas de inteligencia

El Journal recopiló pistas digitales de las computadoras de las víctimas recopiladas por las empresas de inteligencia de amenazas Farsight Security y RiskIQ y luego utilizó métodos de descifrado para revelar las identidades de algunos de los servidores que descargaron el código malicioso. En algunos casos, el análisis condujo a la identidad de las organizaciones comprometidas y mostró cuándo probablemente se activó el código, lo que indica que los piratas informáticos tenían acceso.

Todavía no se sabe qué hicieron los piratas informáticos dentro de las diversas organizaciones, o si incluso utilizaron las puertas traseras de muchas de las empresas. Pero los investigadores y los expertos en seguridad dicen que, además de las comunicaciones internas y otros secretos gubernamentales, los piratas informáticos pueden haber buscado correos electrónicos de ejecutivos corporativos, archivos sobre tecnologías sensibles en desarrollo y otras formas de comprometer más sistemas más adelante.

La incertidumbre ha dejado a los clientes de SolarWinds, que incluyen las principales empresas de tecnología, más de 400 empresas Fortune 500 y muchas agencias gubernamentales, luchando para determinar las consecuencias y si los piratas informáticos permanecen dentro.

Un ataque con herramientas nunca antes vistas

El ataque combinó un oficio extraordinariamente sigiloso, utilizando herramientas cibernéticas nunca antes vistas en un ataque anterior, con una estrategia que se centró en un eslabón débil en la cadena de suministro de software en el que confían todas las empresas e instituciones gubernamentales de EE. UU., Un enfoque que los expertos en seguridad han temido durante mucho tiempo. pero uno que nunca se ha utilizado en objetivos estadounidenses de forma tan concertada.

Las agencias gubernamentales y los expertos en ciberseguridad todavía están trabajando para reconstruir la operación de espionaje masivo sospechoso. Al menos seis agencias federales, incluidos los departamentos de Estado, Seguridad Nacional, Comercio y Energía, fueron pirateadas como parte de la campaña.

La Agencia de Seguridad de Infraestructura y Ciberseguridad publicó la semana pasada una alerta que decía que el ataque era «grave» y en curso. SolarWinds ha lanzado una actualización que cierra la puerta trasera y Microsoft Corp. ha tomado el control de parte de la infraestructura de los piratas informáticos para evitar que el ataque se propague.

Los investigadores federales han llegado a la conclusión de que es probable que el gobierno ruso sea responsable del ataque, en parte debido al nivel de habilidad involucrado. Varios senadores que han recibido informes en los últimos días se han referido abiertamente a ello como una operación rusa. Y el viernes, el secretario de Estado Mike Pompeo se convirtió en el primer funcionario de la administración Trump en culpar públicamente a Moscú, aunque el presidente Trump en un tuit el sábado sugirió sin evidencia que China podría ser responsable.

Moscú ha negado su responsabilidad.

«Los clientes definitivamente se están volviendo locos», dijo David Kennedy, cuya compañía, TrustedSec LLC, está investigando el ataque. Para muchas empresas, la preocupación es si los atacantes robaron datos o permanecen sin ser detectados dentro de las redes corporativas, dijo. Es más, debido a que el ataque se remonta a muchos meses atrás, es posible que algunas empresas ya no tengan los datos forenses necesarios para realizar una investigación completa.

«Si esto es realmente SVR, como creemos que es, esos tipos son increíblemente difíciles de expulsar de las redes», dijo Dmitri Alperovitch, un experto en ciberseguridad y cofundador del grupo de expertos Silverado Policy Accelerator, refiriéndose a la inteligencia extranjera rusa. Servicio.

Algunas organizaciones que mantienen mejores registros de actividad en sus sistemas probablemente podrán determinar si alguien atravesó la puerta trasera rusa hacia sus redes, dijo Alperovitch, ex director de tecnología y cofundador de la firma de ciberseguridad CrowdStrike Holdings Inc. Pero para otros, especialmente las empresas pequeñas o medianas, será una tarea difícil y costosa que es probable que muchos ignoren, lo que significa que Rusia podría mantener una presencia en algunas redes de forma indefinida.

“Probablemente solo quitarán la puerta trasera y seguirán adelante”, dijo Alperovitch.

Para muchas víctimas corporativas, el temor que se avecina ahora es que los piratas informáticos puedan usarlos como una vía para llegar a sus clientes. Por ejemplo, Microsoft descubrió en una investigación publicada el jueves que casi la mitad de sus más de 40 clientes afectados por el ataque eran empresas de servicios de tecnología de la información, que a menudo tienen un amplio acceso a las redes de sus clientes.

Microsoft, un cliente de SolarWinds, dijo la semana pasada que también había detectado software malicioso relacionado con el ataque en su propia red, pero «no hay indicios de que nuestros sistemas se hayan utilizado para atacar a otros», dijo una portavoz de la empresa. La investigación de la empresa continúa.

Fuente: Wall Street Journal