El ataque a la cadena de suministro utilizado para violar las agencias federales y al menos una empresa privada representa un “grave riesgo” para Estados Unidos, en parte porque los atacantes probablemente utilizaron medios distintos de la puerta trasera de SolarWinds para penetrar en redes de interés, dijeron funcionarios federales en Jueves. Una de esas redes pertenece a la Administración Nacional de Seguridad Nuclear, que es responsable de los laboratorios de Los Alamos y Sandia, según un informe de Politico.
“Este adversario ha demostrado una capacidad para explotar las cadenas de suministro de software y ha demostrado un conocimiento significativo de las redes de Windows”, escribieron funcionarios de la Agencia de Seguridad e Infraestructura de Ciberseguridad en un alerta. “Es probable que el adversario tenga vectores de acceso inicial y tácticas, técnicas y procedimientos (TTP) adicionales que aún no se han descubierto”. CISA, como se abrevia la agencia, es una rama del Departamento de Seguridad Nacional.
En otra parte, los funcionarios escribieron: “CISA ha determinado que esta amenaza representa un riesgo grave para el gobierno federal y los gobiernos estatales, locales, tribales y territoriales, así como para las entidades de infraestructura crítica y otras organizaciones del sector privado”.
Reuters, mientras tanto, informó que los atacantes violó un importante proveedor de tecnología separado y utilizó el compromiso para alcanzar objetivos finales de gran valor. Los servicios de noticias citaron a dos personas informadas sobre el asunto.
Los atacantes, que según CISA comenzaron su operación a más tardar en marzo, lograron pasar desapercibidos hasta la semana pasada cuando la empresa de seguridad FireEye informó que los piratas informáticos respaldados por un estado-nación habían penetrado profundamente en su red. A principios de esta semana, FireEye dijo que los piratas informáticos estaban infectando objetivos utilizando Orion, una herramienta de gestión de red ampliamente utilizada de SolarWinds. Después de tomar el control del mecanismo de actualización de Orion, los atacantes lo estaban usando para instalar una puerta trasera que los investigadores de FireEye llaman Sunburst.
El domingo también fue cuando varios medios de comunicación, citando a personas no identificadas, informaron que los piratas informáticos habían utilizado la puerta trasera en Orion para violar redes pertenecientes a los Departamentos de Comercio, Tesoro y posiblemente otras agencias. Posteriormente se agregaron a la lista el Departamento de Seguridad Nacional y los Institutos Nacionales de Salud.
Evaluación sombría
La alerta de CISA del jueves proporcionó una evaluación inusualmente sombría del ataque, la amenaza que representa para las agencias gubernamentales a nivel nacional, estatal y local, y la habilidad, persistencia y tiempo que se requerirán para expulsar a los atacantes de las redes que habían penetrado. durante meses sin ser detectado.
“Este actor de la APT ha demostrado paciencia, seguridad operativa y habilidad comercial compleja en estas intrusiones”, escribieron los funcionarios en la alerta del jueves. “CISA espera que eliminar a este actor de amenazas de entornos comprometidos sea muy complejo y desafiante para las organizaciones”.
Los funcionarios proporcionaron otra evaluación sombría: “CISA tiene evidencia de vectores de acceso inicial adicionales, además de la plataforma SolarWinds Orion; sin embargo, todavía se están investigando. CISA actualizará esta Alerta a medida que haya nueva información disponible “.
El aviso no dijo cuáles podrían ser los vectores adicionales, pero los funcionarios señalaron la habilidad requerida para infectar la plataforma de compilación del software SolarWinds, distribuir puertas traseras a 18,000 clientes y luego permanecer sin ser detectados en las redes infectadas durante meses.
“Este adversario ha demostrado su capacidad para explotar las cadenas de suministro de software y ha demostrado un conocimiento significativo de las redes de Windows”, escribieron. “Es probable que el adversario tenga vectores de acceso inicial y tácticas, técnicas y procedimientos (TTP) adicionales que aún no se han descubierto”.
Entre las muchas agencias federales que utilizaron SolarWinds Orion, según se informó, estaba el Servicio de Impuestos Internos. El jueves, el miembro de rango del Comité de Finanzas del Senado, Ron Wyden (D-Ore.) Y el presidente del Comité de Finanzas del Senado, Chuck Grassley (R-Iowa) enviaron un letra al Comisionado del IRS, Chuck Rettig, pidiéndole que brinde un informe sobre si los datos de los contribuyentes se vieron comprometidos.
Ellos escribieron:
El IRS parece haber sido cliente de SolarWinds tan recientemente como en 2017. Dada la extrema sensibilidad de la información personal del contribuyente confiada al IRS, y el daño tanto a la privacidad de los estadounidenses como a nuestra seguridad nacional que podría resultar del robo y explotación de este datos de nuestros adversarios, es imperativo que comprendamos hasta qué punto el IRS puede haberse visto comprometido. También es fundamental que entendamos qué acciones está tomando el IRS para mitigar cualquier daño potencial, asegurarnos de que los piratas informáticos aún no tengan acceso a los sistemas internos del IRS y evitar futuros ataques a los datos de los contribuyentes.
Los representantes del IRS no respondieron de inmediato una llamada telefónica en busca de comentarios para esta publicación.
La alerta de CISA dijo que las conclusiones clave de su investigación hasta ahora son:
- Este es un adversario paciente, con buenos recursos y enfocado que ha mantenido una actividad de larga duración en las redes de víctimas.
- El compromiso de la cadena de suministro de SolarWinds Orion es no el único vector de infección inicial que aprovechó este actor de APT.
- No todas las organizaciones que tienen la puerta trasera entregada a través de SolarWinds Orion han sido atacadas por el adversario con acciones de seguimiento.
- Las organizaciones con presuntos compromisos deben ser muy conscientes de la seguridad operativa, incluso cuando participan en actividades de respuesta a incidentes y planifican e implementan planes de remediación.
Lo que ha surgido hasta ahora es que este es un truco extraordinario cuyo alcance y efectos completos no se conocerán durante semanas o incluso meses. Es probable que los zapatos adicionales se caigan temprano y con frecuencia.