in

Nadie sabe cuán profundo es el alboroto de la piratería en Rusia

Nadie sabe cuán profundo es el alboroto de la piratería en Rusia

Desde tan lejos Ya en marzo, los piratas informáticos rusos estaban en una situación siniestra. Al introducir actualizaciones contaminadas en una plataforma de gestión de TI ampliamente utilizada, pudieron llegar a los departamentos de Comercio, Tesoro y Seguridad Nacional de los Estados Unidos, así como a la empresa de seguridad FireEye. En verdad, nadie sabe dónde termina el daño; Dada la naturaleza del ataque, literalmente miles de empresas y organizaciones han estado en riesgo durante meses. Solo empeora a partir de aquí.

Los ataques, informados por primera vez por Reuters el domingo, aparentemente fueron llevados a cabo por piratas informáticos del SVR, el servicio de inteligencia exterior de Rusia. Estos actores a menudo se clasifican como APT 29 o “Cozy Bear”, pero los respondedores de incidentes todavía están tratando de reconstruir el origen exacto de los ataques dentro del aparato de piratería militar de Rusia. Todos los compromisos se remontan a SolarWinds, una empresa de gestión de redes e infraestructura de TI cuyos productos se utilizan en todo el gobierno de EE. UU., Por muchos contratistas de defensa y por la mayoría de las empresas de Fortune 500. SolarWinds dijo en un comunicado el domingo que los piratas informáticos habían logrado alterar las versiones de una herramienta de monitoreo de red llamada Orion que la compañía lanzó entre marzo y junio.

“Se nos ha informado que este ataque probablemente fue realizado por un estado nacional externo y tenía la intención de ser un ataque limitado, extremadamente dirigido y ejecutado manualmente, en lugar de un ataque amplio en todo el sistema”, escribió la compañía.

SolarWinds tiene cientos de miles de clientes en total; dijo en una divulgación de la Comisión de Bolsa y Valores el lunes que hasta 18.000 de ellos eran potencialmente vulnerables al ataque.

Tanto FireEye como Microsoft detallaron el flujo del ataque. Primero, los piratas informáticos pusieron en peligro el mecanismo de actualización de Orion de SolarWinds para que sus sistemas pudieran distribuir software contaminado a miles de organizaciones. Los atacantes podrían utilizar el software Orion manipulado como puerta trasera a las redes de las víctimas. A partir de ahí, podrían desplegarse dentro de los sistemas de destino, a menudo robando tokens de acceso administrativo. Finalmente, con las llaves del reino, o grandes porciones de cada reino, los piratas informáticos eran libres de realizar reconocimientos y exfiltrar datos.

Este tipo de ataque a la cadena de suministro puede tener consecuencias nefastas. Al comprometer a una entidad o fabricante, los piratas informáticos pueden socavar la seguridad del objetivo de manera eficiente y a escala.

Esta no sería la primera vez que Rusia confía en un ataque a la cadena de suministro para lograr un impacto generalizado. En 2017, la inteligencia militar GRU del país utilizó el acceso al software de contabilidad ucraniano MeDoc para desatar su destructivo malware NotPetya en todo el mundo. El ataque a SolarWinds y sus clientes parece haberse centrado en el reconocimiento dirigido más que en la destrucción. Pero con operaciones silenciosas y matizadas, todavía existe un riesgo muy real de que la extensión total del daño no se aclare de inmediato. Una vez que los atacantes se han integrado en las redes de destino, lo que a menudo se denomina “establecimiento de persistencia”, simplemente actualizar el software comprometido no es suficiente para eliminar a los atacantes. El hecho de que Cozy Bear haya sido capturado no significa que el problema esté resuelto.

De hecho, FireEye enfatizó el domingo que el ataque está en curso. El proceso de identificar posibles infecciones y rastrear su origen llevará mucho tiempo.

“Los atacantes en cuestión han sido especialmente discretos en el uso de la infraestructura de red”, dice Joe Slowik, investigador de la firma de inteligencia de amenazas DomainTools. “En particular, parece que se han basado en gran medida en renovar o volver a registrar dominios existentes en lugar de crear elementos completamente nuevos y utilizar una variedad de servicios de alojamiento en la nube para la infraestructura de red”. Estas técnicas ayudan a los atacantes a enmascarar pistas sobre su identidad, cubrir sus rastros y, en general, mezclarse con el tráfico legítimo.

El alcance del daño también es difícil de manejar porque Orion es en sí mismo una herramienta de monitoreo, creando un problema de “quién vigila a los observadores”. Por esa misma razón, los sistemas también otorgan a Orion confianza y privilegios en las redes de usuarios que tienen valor para los atacantes. Las víctimas y los posibles objetivos deben considerar la posibilidad de que estos ataques también comprometido gran parte de su otra infraestructura y mecanismos de autenticación utilizando el acceso generalizado de Orion. Aún se desconoce el alcance de la exposición en las agencias gubernamentales de EE. UU. la revelación de que el DHS también se vio afectado no llegó hasta el lunes por la tarde.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Cargador inalámbrico de bobina móvil de Xiaomi: ¿realmente útil o solo un truco de fiesta?

Cargador inalámbrico de bobina móvil de Xiaomi: ¿realmente útil o solo un truco de fiesta?

Cómo comer una caña de azúcar