CISA está jugando un papel central en la respuesta a los ataques, cuya existencia se conoció públicamente el domingo. A medida que la investigación se puso en marcha, los esfuerzos de CISA produjeron críticas quizás inevitables dentro del gobierno sobre su rapidez en el despliegue de equipos de respuesta a incidentes para ayudar a otras agencias a identificar y contener cualquier intrusión.
Hay una “frustración masiva con CISA por una respuesta lenta a las infracciones de la agencia”, dijo el primer funcionario estadounidense.
Los profesionales de la ciberseguridad han advertido constantemente que CISA, una agencia de dos años encargada de defender las redes civiles civiles de los piratas informáticos, ayudar a las agencias a recuperarse de las infracciones y ayudar a defender infraestructura crítica, como plantas de energía y sistemas electorales, carece de personal y recursos suficientes para combatir de manera efectiva incendios digitales masivos dentro del gobierno. Solo una pequeña parte de los aproximadamente 2.200 empleados de la agencia se encargan de ese trabajo.
“Están abrumados”, dijo el funcionario estadounidense.
CISA rechazó las críticas.
“Eso es inexacto” dijo la portavoz Sara Sendek, y agregó que la ag encia confía en que tiene suficiente personal para manejar un aumento potencial de agencias que informan sobre infracciones. “CISA ha estado brindando apoyo y asistencia a todos nuestros socios federales que lo han solicitado. No ha habido demoras en responder a ninguna solicitud “.
Pero un empleado de CISA, que habló de forma anónima porque no estaba autorizado a hablar con los periodistas, reconoció que el alcance de la crisis podría sobrepasar a la agencia.
“Estamos bien en este momento”, dijo esta persona, pero “parece probable que eso cambie. … Muchas agencias aún no saben qué tan ardientes están “.
El funcionario estadounidense dijo que los respondedores de incidentes de CISA, que se abalanzan sobre las agencias para ayudarlos a comprender y mitigar las infracciones, eran “muy pocos”.
Los equipos de respuesta a incidentes de CISA, incluidos los contratistas privados, no son tan grandes como muchas personas podrían asumir, según el empleado de CISA. “No somos NSA”, dijo esta persona, refiriéndose a la enorme fuerza laboral de la agencia de espionaje.
No está claro exactamente cuánto ha afectado el vacío de liderazgo en CISA su respuesta.
Krebs tuiteó Domingo que tenía “la máxima confianza” en sus ex empleados, que “saben cómo hacer esto”.
Pero algunos legisladores todavía están preocupados.
“El despido del director extremadamente capaz de CISA en medio de este momento de vulnerabilidad, socava la seguridad nacional”, dijo el senador Angus King (I-Maine), quien copresidió una comisión autorizada por el Congreso que recomendó cambios radicales en la actividades cibernéticas del gobierno.
Los ataques parecen haberse originado por el compromiso de un proveedor de TI cuyos productos se utilizan ampliamente en todo el gobierno federal, lo que genera nuevos temores sobre el riesgo sistémico que representa la cadena de suministro del gobierno.
Los investigadores creen que los piratas informáticos agregaron código malicioso a las actualizaciones de software para un producto de TI utilizado en todo el gobierno federal, usaron ese código para abrir puertas en las redes de las agencias y luego usaron una técnica sofisticada para acceder a los correos electrónicos de los trabajadores federales.
Aunque las investigaciones continúan en las primeras etapas, las infracciones parecen haber comenzado entre marzo y junio, cuando los piratas informáticos comprometieron a la empresa de software SolarWinds, que vende productos de gestión de TI a cientos de clientes gubernamentales y del sector privado, incluidas agencias federales y Fortune. 500 empresas.
Al infectar las actualizaciones de software que SolarWinds distribuyó a los usuarios de su sistema de monitoreo de TI Orion, los piratas informáticos ganaron un punto de apoyo en las redes de esos usuarios. A partir de ahí, parecen haber irrumpido en los servidores de correo electrónico de Microsoft de las víctimas al falsificar los tokens de autenticación que le dicen al sistema a quién se le debe otorgar acceso.
A última hora de la noche del domingo, CISA emitió una directiva de emergencia poco común que ordenaba a las agencias desconectar inmediatamente todos los productos SolarWinds de sus redes.
SolarWinds cree que menos de 18,000 de las 33,000 organizaciones que fueron elegibles para recibir actualizaciones de software de Orion durante el período de tiempo relevante realmente recibieron el código infectado, dijo la compañía el lunes en una presentación de la Comisión de Bolsa y Valores. La compañía agregó que planeaba distribuir una solución “el martes o antes”.
Los productos Orion representaron aproximadamente el 45 por ciento de los ingresos totales de SolarWinds durante los primeros tres trimestres de 2020, dijo la compañía.
La forma en que los piratas informáticos violaron las agencias gubernamentales al comprometer a un proveedor en su cadena de suministro recuerda a un brote global de malware en 2017, conocido como NotPetya, el ataque digital más grande y destructivo de la historia. Ese incidente comenzó cuando los piratas informáticos rusos infectaron las actualizaciones de software del fabricante de software fiscal ucraniano MEDoc. Los investigadores de seguridad creen que los rusos solo tenían la intención de espiar a ciertos objetivos ucranianos, pero el malware NotPetya se extendió rápidamente por todo el mundo, causando hasta $ 10 mil millones en daños a las víctimas que incluían al gigante naviero Maersk y al titán farmacéutico Merck.
Los profesionales de la seguridad no esperan una repetición de NotPetya esta vez. Todo lo relacionado con las brechas recientes indica una operación de espionaje en lugar de un alboroto destructivo, dijeron, y la recopilación de inteligencia requiere atención individual que incluso Moscú no puede aplicar a todos los cientos de clientes de SolarWinds potencialmente comprometidos.
“Ningún adversario tiene suficientes recursos humanos para explotar eficazmente a todas las víctimas potenciales”, tuiteó Dmitri Alperovitch, cofundador de la empresa de seguridad CrowdStrike. “Básicamente TIENEN que concentrarse en aquellos que más les importan”.
Aun así, las empresas de los sectores de infraestructura crítica han comenzado a evaluar sus sistemas para ver si ellos también se vieron afectados. Ejecutivos del sector de energía eléctrica realizó una “llamada de conciencia situacional” el lunes, y el Departamento de Salud y Servicios Humanos realizó una conferencia telefónica el lunes por la tarde con organizaciones de atención médica para explicar la vulnerabilidad SolarWinds, según una invitación vista por HEAVEN32.
Incluso después de que los clientes de SolarWinds cierren esa puerta, aún deberán verificar sus sistemas en busca de señales de que los piratas informáticos ingresaron.
“Estas organizaciones todavía van a tener una batalla cuesta arriba para sacar a este actor de sus redes”, dijo John Hultquist, director senior de análisis de inteligencia de FireEye. “No será fácil”.
El primer funcionario estadounidense estuvo de acuerdo. “Estamos en días muy, muy tempranos”, dijeron, “y hay una sensación de que … las noticias van a empeorar”.
Daniel Lippman y Martin Matishak contribuyeron a este informe.
Noticia original: https://www.politico.com/news/2020/12/14/massively-disruptive-cyber-crisis-engulfs-multiple-agencies-445376?utm_source=RSS_Feed&utm_medium=RSS&utm_campaign=RSS_Syndication