Los países se espían entre sí, en todas partes, todo el tiempo. Siempre lo han hecho. Pero el alcance y la sofisticación de los últimos esfuerzos de Rusia y China aún logran impactar. Y las consecuencias a corto plazo de ambos subraya lo complicado que puede ser tomar la medida completa de una campaña incluso después de haberla olido.
“Está claro que hay mucho más que aprender sobre este incidente, sus causas, su alcance, su escala y hacia dónde vamos desde aquí”, dijo el presidente del Comité de Inteligencia del Senado, Mark Warner (D-Va.) En una audiencia relacionada con el SolarWinds hackear la semana pasada. Brandon Wales, director interino de la Agencia de Infraestructura y Ciberseguridad de EE. UU., Estimado en una entrevista con . esta semana, los sistemas del gobierno de EE. UU. podrían tardar hasta 18 meses en recuperarse de la ola de piratería, por no hablar del sector privado.
Esa falta de claridad se duplica para la campaña de piratería china que Microsoft reveló el martes. Descubierto por primera vez por la firma de seguridad Volexity, un grupo de estado-nación que Microsoft llama Hafnium ha estado usando múltiples exploits de día cero—Que atacan vulnerabilidades de software previamente desconocidas— para ingresar a los servidores Exchange, que administran los clientes de correo electrónico, incluido Outlook. Allí, podían leer subrepticiamente las cuentas de correo electrónico de objetivos de alto valor.
“No culparías a nadie por perderse esto”, dice el fundador de Veloxity, Steven Adair, quien dice que la actividad que observaron comenzó el 6 de enero de este año. “Son muy específicos y no están haciendo mucho para dar la alarma”.
Sin embargo, el fin de semana pasado, Veloxity observó un marcado cambio en el comportamiento, ya que los piratas informáticos comenzaron a utilizar su punto de apoyo en Exchange Server para profundizar agresivamente en las redes de víctimas. “Era muy serio antes; alguien que tenga acceso ilimitado a su correo electrónico a voluntad es, en cierto sentido, el peor de los casos ”, dice Adair. “El hecho de que ellos también puedan violar su red y escribir archivos lo lleva a un nivel superior en términos de lo que alguien puede llegar y lo difícil que puede ser la limpieza”.
“Rociar y rezar”
Ni SolarWinds ni los ataques de Hafnium se han detenido, lo que significa que el concepto mismo de limpieza, al menos en términos generales, sigue siendo un sueño lejano. Es como intentar limpiar un petrolero que brota activamente. “Es evidente que estos ataques todavía están en curso, y los actores de amenazas están escaneando activamente Internet en una forma de ‘rociar y rezar’, apuntando a cualquier cosa que parezca vulnerable”, dice John Hammond, investigador senior de seguridad en detección de amenazas. firma Huntress, sobre la campaña de Hafnium.
Microsoft ha lanzado parches que protegerá de la agresión a cualquiera que utilice Exchange Server. Pero es solo cuestión de tiempo antes de que otros piratas informáticos realicen ingeniería inversa en la solución para descubrir cómo explotar las vulnerabilidades por sí mismos; puede esperar ransomware y grupos de criptojacking para entrar en acción a toda prisa.
“Podría convertirse en un programa completamente gratuito para todos”, dice Adair. “Supongo que podría ser trivial para alguien descubrir los componentes de esto ahora que el parche está disponible”.
El parche protegerá a cualquiera que lo instale, pero si el pasado es un prólogo, esa lista estará lejos de ser completa. Microsoft lanzó un parche para la vulnerabilidad EternalBlue en marzo de 2017; dos meses después el El virus WannaCry utilizó la herramienta NSA filtrada para atravesar Internet. Dos años completos después de eso, más de un millón de dispositivos seguían siendo vulnerables a nivel mundial. Lo que significa que Hafnium y los grupos criminales que inspira tienen un cinturón muy largo al que pueden agregar muescas.
“El impacto será duradero”
Al mismo tiempo, ninguna de estas actividades debería sorprender. “Definitivamente siempre hay un nivel de fondo de espionaje patrocinado por el estado que ocurre a través del ciberespacio”, dice J. Michael Daniel, quien anteriormente se desempeñó como coordinador de ciberseguridad en la administración de Obama y actualmente es presidente y director ejecutivo de Cyber Threat Alliance, una organización sin fines de lucro. Los hackers de SolarWinds y Hafnium fueron atrapados. Y aunque EE. UU. Ha estado cada vez más dispuesto a acusar a los piratas informáticos de los estados nacionales, incluidos Rusia y porcelana—Típicamente lo hacen por robo de propiedad intelectual u otras violaciones flagrantes de las normas internacionales. ¿Espionaje? No tanto. Eso también complica un poco la disuasión; en la Guerra Fría, simplemente podía echar a los espías de su país, una opción que no está disponible cuando están sentados detrás de un teclado a miles de kilómetros de distancia.
Lo que significa que puede esperar que los hilos de SolarWinds y Hafnium continúen desenvolviéndose, probablemente durante años, sin llegar nunca al final.
“¿Descubriremos más a medida que pase el tiempo que hubo otro compromiso en la cadena de suministro por parte de SolarWinds o más agencias? Quizás, quizás no ”, dice Adair de Volexity. “Podrían haber devastado una tonelada más y nunca te enteras, ya sea porque las víctimas nunca lo saben o porque lo saben pero no se hace público”. Lo mismo, dice, es cierto para Hafnium. “No sé si lo seguiremos escuchando para siempre, pero el impacto será duradero”, dice Adair. “Ya es duradero, solo se basa en lo que han hecho hasta ahora”.
Esta historia apareció originalmente en wired.com.
