La semana pasada, varias agencias gubernamentales importantes de Estados Unidos, incluidos los Departamentos de Seguridad Nacional, Comercio, Tesoro y Estado, descubrieron que sus sistemas digitales habían sido violados por piratas informáticos rusos en una operación de espionaje de meses de duración. La amplitud y profundidad de los ataques tomará meses, si no más, para comprender completamente. Pero ya está claro que representan un momento de ajuste de cuentas, tanto para el gobierno federal como para la industria de TI que los suministra.
Ya en marzo, los piratas informáticos rusos aparentemente comprometieron actualizaciones de software que de otro modo serían mundanas para una herramienta de monitoreo de red ampliamente utilizada, SolarWinds Orion. Al obtener la capacidad de modificar y controlar este código confiable, los atacantes podrían distribuir su malware a una amplia gama de clientes sin ser detectados. Estos ataques a la “cadena de suministro” se han utilizado antes en el espionaje gubernamental y la piratería destructiva, incluso en Rusia. Pero el incidente de SolarWinds subraya los riesgos increíblemente altos de estos incidentes y lo poco que se ha hecho para prevenirlos.
“Lo comparo con otros tipos de recuperación ante desastres y planificación de contingencias tanto en el gobierno como en el sector privado”, dice Matt Ashburn, líder de compromiso de seguridad nacional en la firma de seguridad web Authentic8, quien anteriormente fue director de seguridad de la información en el Consejo de Seguridad Nacional. . “Todo su objetivo es mantener las operaciones cuando hay un evento inesperado. Sin embargo, cuando comenzó la pandemia este año, nadie parecía estar preparado para ella, todos estaban luchando. Y los ataques a la cadena de suministro son similares: todos lo saben y son conscientes del riesgo , sabemos que nuestros adversarios más avanzados se involucran en este tipo de actividad. Pero no ha habido ese enfoque concertado “.
Las recriminaciones se produjeron poco después de que se revelaran los ataques, con los senadores estadounidenses Ron Wyden (D-Ore.) Y Sherrod Brown (D-Ohio). dirigir preguntas puntiagudas
Estados Unidos ha invertido mucho en la detección de amenazas; un sistema de miles de millones de dólares conocido como patrullas de Einstein las redes del gobierno federal en busca de malware e indicaciones de ataque. Pero como informe de la Oficina de Responsabilidad Gubernamental de 2018 detallado, Einstein es eficaz para identificar conocido amenazas. Es como un portero que mantiene fuera a todos en su lista, pero hace la vista gorda ante nombres que no reconoce.
Eso hizo que Einstein fuera inadecuado ante un ataque sofisticado como el de Rusia. Los piratas informáticos utilizaron su puerta trasera SolarWinds Orion para obtener acceso a las redes objetivo. Luego se sentaron en silencio durante un máximo de dos semanas antes de moverse con mucho cuidado e intencionalmente dentro de las redes de víctimas para obtener un control más profundo y exfiltrar datos. Incluso en esa fase potencialmente más visible de los ataques, trabajaron diligentemente para ocultar sus acciones.
“Como si el atacante se teletransportara de la nada”
“Esto es un ajuste de cuentas seguro”, dice Jake Williams, un ex pirata informático de la NSA y fundador de la empresa de seguridad Rendition Infosec. “Es inherentemente tan difícil de abordar, porque los ataques a la cadena de suministro son ridículamente difíciles de detectar. Es como si el atacante se teletransportara de la nada”.
El martes, la GAO lanzado públicamente otro informe, uno que había distribuido dentro del gobierno en octubre: “Las agencias federales deben tomar medidas urgentes para gestionar los riesgos de la cadena de suministro”. Para entonces, el asalto ruso había estado activo durante meses. La agencia descubrió que ninguna de las 23 agencias que examinó había implementado las siete mejores prácticas fundamentales para la ciberdefensa que había identificado. La mayoría de las agencias no habían implementado ninguna.
El problema de la cadena de suministro, y la ola de piratería informática de Rusia, no es exclusivo del gobierno de Estados Unidos. SolarWinds ha dicho que hasta 18.000 clientes eran vulnerables a los piratas informáticos, que logró infiltrarse incluso en la firma de ciberseguridad de alto perfil FireEye.
“No fue fácil determinar lo que sucedió aquí; este es un actor avanzado y extremadamente capaz que da grandes pasos para cubrir sus huellas y compartimentar sus operaciones”, dice John Hultquist, vicepresidente de análisis de inteligencia de FireEye. “Francamente, tuvimos la suerte de llegar al fondo”.
Pero dadas las posibles implicaciones —políticas, militares, económicas, lo que sea— de estas infracciones federales, la campaña de Rusia debería servir como la última llamada de atención. Aunque hasta ahora parece que los atacantes accedieron solo a sistemas no clasificados, Williams de Rendition Infosec enfatiza que algunas piezas individuales de información no clasificada conectan suficientes puntos para elevarse al nivel de material clasificado. Y el hecho de que la verdadera escala y alcance del incidente aún se desconozcan significa que aún no se sabe qué tan terrible se verá el panorama completo.
“Cero confianza”
Hay algunos caminos para mejorar la seguridad de la cadena de suministro: la debida diligencia básica que describe la GAO, priorizando auditorías de plataformas de TI ubicuas, monitoreo de red más integral a escala. Pero los expertos dicen que no hay respuestas fáciles para combatir la amenaza. Un camino potencial sería construir redes altamente segmentadas con “confianza cero”, por lo que los atacantes no pueden ganar mucho incluso si penetran en algunos sistemas, pero en la práctica resulta difícil lograr que las grandes organizaciones se comprometan con ese modelo.
“Debe confiar mucho en sus proveedores de software, y cada uno de ellos ‘se toma la seguridad en serio'”, dice Williams.
Sin embargo, sin un enfoque fundamentalmente nuevo para proteger los datos, los atacantes tendrán la ventaja. Estados Unidos tiene opciones a su disposición (contraataques, sanciones o alguna combinación de ellas), pero los incentivos para este tipo de espionaje son demasiado grandes y las barreras de entrada demasiado bajas. “Podemos hacer estallar sus redes domésticas o mostrarles lo enojados que estamos y hacer sonar los sables, y eso está bien”, dice Jason Healey, investigador principal de la Universidad de Columbia, “pero probablemente no influirá en su comportamiento a largo plazo . “
“Necesitamos averiguar qué podemos hacer para que la defensa sea mejor que la ofensiva”, dice Healey. Hasta que eso suceda, espere que el alboroto de la piratería de Rusia sea menos una excepción que un plan.
Esta historia apareció originalmente en wired.com.