Cómo los piratas informáticos rusos se infiltraron en el gobierno de EE. UU. Durante meses sin ser detectados

Miles de empresas y gobiernos se apresuran a descubrir si han sido atacados por los piratas informáticos rusos que, según los informes, se infiltraron en varias agencias gubernamentales de Estados Unidos. La brecha inicial, informó el 13 de diciembre, incluyó el Tesoro así como los Departamentos de Comercio y Seguridad Nacional. Pero las técnicas sigilosas que utilizaron los piratas informáticos significan que podría llevar meses identificar a todas sus víctimas y eliminar cualquier software espía que hayan instalado.

Para llevar a cabo la violación, los piratas informáticos primero irrumpieron en los sistemas de SolarWinds, una empresa de software estadounidense. Allí, insertaron una puerta trasera en Orion, uno de los productos de la compañía, que las organizaciones utilizan para ver y administrar vastas redes internas de computadoras. Durante varias semanas a partir de marzo, cualquier cliente que se actualizara a la última versión de Orion (firmada digitalmente por SolarWinds y, por lo tanto, aparentemente legítima) descargó sin saberlo el software comprometido, lo que les dio a los piratas informáticos una vía de acceso a sus sistemas.

SolarWinds tiene alrededor de 300.000 clientes en todo el mundo, incluida la mayoría de las empresas Fortune 500 y muchos gobiernos. En un nuevo presentación

con la Comisión de Bolsa y Valores, la firma dijo que “menos de” 18,000 organizaciones alguna vez descargaron la actualización comprometida. (SolarWinds dijo que aún no está claro cuántos de esos sistemas fueron realmente pirateados). La práctica estándar de ciberseguridad es mantener el software actualizado, por lo que la mayoría de los clientes de SolarWinds, irónicamente, estaban protegidos porque no habían seguido ese consejo.

Los piratas informáticos eran “extremadamente inteligentes y estratégicos”, dice Greg Touhill, ex director federal de seguridad de la información. Incluso una vez que obtuvieron acceso a través de la puerta trasera en Orión, conocida como Sunburst, se movieron lenta y deliberadamente. En lugar de infiltrarse en muchos sistemas a la vez, lo que fácilmente podría haber levantado sospechas, se centraron en un pequeño conjunto de objetivos seleccionados, según un reporte de la firma de seguridad FireEye.

Sunburst se mantuvo en silencio durante dos semanas completas antes de despertarse y comenzar a comunicarse con los piratas informáticos, según el informe. El malware disfraza su tráfico de red como el “Programa de mejora de Orion” y almacena datos dentro de archivos legítimos para integrarse mejor. También busca herramientas de seguridad y antivirus en la máquina infectada para evitarlos.