Explicació: un ciberatac massiu als EUA, utilitzant un conjunt d'eines noves

Un dels ciberatacs més grans que han tingut com a objectiu les agències governamentals dels EUA i les empreses privades, el 'pirateig SolarWinds' es veu com un probable esforç global. Com es va dur a terme i quin tipus de dades s'han compromès? Per què els funcionaris i polítics del govern dels EUA han nomenat Rússia?

L'objectiu del ciberatac va ser Orion, un programari subministrat per l'empresa SolarWinds. (Foto de Reuters)

El 'pirateig SolarWinds', un ciberatac descobert recentment als Estats Units, s'ha convertit en un dels el més gran mai dirigit contra el govern dels EUA, les seves agències i diverses altres empreses privades. De fet, és probable que sigui un ciberatac global.

Va ser descobert per primera vegada per l'empresa nord-americana de ciberseguretat FireEye, i des de llavors continuen sortint a la llum més desenvolupaments cada dia. L'envergadura de l'atac cibernètic encara es desconeix, tot i que es creu que el Tresor dels Estats Units, el Departament de Seguretat Nacional, el Departament de Comerç i parts del Pentàgon han estat afectats.

valor net de jack osbourne

En un article d'opinió escrit per The New York Times , Thomas P Bossert, que va ser assessor de seguretat nacional del president Donald Trump, ha nomenat Rússia per l'atac. Va escriure proves en els punts d'atac de SolarWinds a l'agència d'intel·ligència russa coneguda com a SVR, l'ofici de la qual es troba entre les més avançades del món. El Kremlin ha negat la seva implicació.

Aleshores, què és aquest 'pirateig de SolarWinds'?

La notícia de l'atac cibernètic es va conèixer per primera vegada el 8 de desembre, quan FireEye va publicar un bloc que detectava un atac als seus sistemes. L'empresa ajuda amb la gestió de la seguretat de diverses grans empreses privades i agències del govern federal.

El CEO de FireEye, Kevin Mandia, va escriure en una publicació al blog dient que l'empresa va ser atacada per un actor d'amenaces molt sofisticat, anomenant-lo un atac patrocinat per l'estat, tot i que no va nomenar Rússia. Va dir que l'atac va ser dut a terme per una nació amb capacitats ofensives de primer nivell i que l'atacant va buscar principalment informació relacionada amb determinats clients del govern. També va dir que els mètodes utilitzats pels atacants eren nous.

Aleshores, el 13 de desembre, FireEye va dir que l'atac cibernètic, que va anomenar Campaign UNC2452, no estava limitat a l'empresa, sinó que s'havia dirigit a diverses organitzacions públiques i privades d'arreu del món. La campanya probablement va començar el març del 2020 i fa mesos que duu a terme, segons la publicació. Pitjor encara, es desconeix l'abast de les dades robades o compromeses, donada l'escala de l'atac encara s'està descobrint. Un cop compromesos els sistemes, es va produir el moviment lateral i el robatori de dades.

Com van ser atacades tantes agències i empreses governamentals dels EUA?

Això s'anomena atac de 'cadena de subministrament': en comptes d'atacar directament el govern federal o la xarxa d'una organització privada, els pirates informàtics es dirigeixen a un proveïdor extern, que els subministra programari. En aquest cas, l'objectiu era un programari de gestió informàtica anomenat Orion, subministrat per l'empresa de Texas SolarWinds.

Orion ha estat un programari dominant de SolarWinds amb clients, que inclouen més de 33.000 empreses. SolarWinds diu que 18.000 dels seus clients s'han vist afectats. Per cert, l'empresa ha esborrat la llista de clients dels seus llocs web oficials.

Segons la pàgina, que també s'ha esborrat dels arxius web de Google, la llista inclou 425 empreses de Fortune 500, els 10 principals operadors de telecomunicacions dels EUA. Un informe del New York Times va dir que algunes parts del Pentàgon, els Centres per al Control i la Prevenció de Malalties, el Departament d'Estat, el Departament de Justícia i altres, es van veure afectats.

Microsoft va confirmar que ha trobat proves del programari maliciós als seus sistemes, tot i que va afegir que no hi havia proves d'accés als serveis de producció o dades dels clients, o que els seus sistemes s'utilitzen per atacar altres. El president de Microsoft, Brad Smith, va dir que la companyia ha començat a notificar a més de 40 clients que els atacants van apuntar de manera més precisa i compromesa.

Un informe de Reuters va dir que fins i tot els correus electrònics enviats pels funcionaris del Departament de Seguretat Nacional eren controlats pels pirates informàtics.

Com van tenir accés?

Segons FireEye, els pirates informàtics van obtenir accés a les víctimes mitjançant actualitzacions troianitzades al programari de gestió i monitorització de TI Orion de SolarWinds. Bàsicament, es va explotar una actualització de programari per instal·lar el programari maliciós 'Sunburst' a Orion, que després va ser instal·lat per més de 17.000 clients.

FireEye diu que els atacants es van basar en múltiples tècniques per evitar ser detectats i enfosquir la seva activitat. El programari maliciós era capaç d'accedir als fitxers del sistema. El que va funcionar a favor del programari maliciós va ser que va poder combinar-se amb l'activitat legítima de SolarWinds, segons FireEye.

Un cop instal·lat, el programari maliciós va donar una entrada de porta posterior als pirates informàtics als sistemes i xarxes dels clients de SolarWinds. Més important encara, el programari maliciós també va poder frustrar eines com ara antivirus que podien detectar-lo.

On entra Rússia?

En el seu article d'opinió del NYT, Bossert va anomenar Rússia i la seva agència SVR, que té la capacitat d'executar l'atac d'aquest enginy i escala.

Microsoft assenyala al seu bloc que aquest aspecte de l'atac va crear una vulnerabilitat de la cadena de subministrament d'importància gairebé global, arribant a moltes capitals nacionals importants fora de Rússia. A continuació, afegeix que els atacs sofisticats des de Rússia s'han tornat habituals.

FireEye, però, encara no ha nomenat Rússia com a responsable i va dir que es tracta d'una investigació en curs amb l'FBI, Microsoft i altres socis clau que no s'anomenen.

andrew de patrimoni net

Què han dit SolarWinds i el govern dels EUA sobre el pirateig?

Ara mateix, SolarWinds recomana que tots els clients actualitzin immediatament la plataforma Orion existent, que té un pegat per a aquest programari maliciós. Si es descobreix l'activitat d'un atacant en un entorn, recomanem dur a terme una investigació exhaustiva i dissenyar i executar una estratègia de correcció impulsada per les conclusions de la investigació i els detalls de l'entorn afectat, ha dit.

A aquells que no puguin actualitzar se'ls diu que aïllin els servidors de SolarWinds i hauria d'incloure el bloqueig de totes les sortides d'Internet dels servidors de SolarWinds. El suggeriment mínim és canviar les contrasenyes per als comptes que tenen accés als servidors/infraestructura de SolarWinds.

L'Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) dels Estats Units ha emès una Directiva d'emergència 21-01, demanant a totes les agències civils federals que revisin les seves xarxes per detectar indicadors de compromís. Els ha demanat que desconnectin o apaguen els productes SolarWinds Orion immediatament.

L'FBI, CISA i l'oficina del Director d'Intel·ligència Nacional van emetre una declaració conjunta i van anunciar el que s'anomena 'Grup de Coordinació Unificada Cibernètica (UCG) per tal de coordinar la resposta del govern a la crisi. La declaració anomena això una campanya de ciberseguretat important i en curs.

La Casa Blanca i el president Donald Trump han guardat silenci. El senador Mitt Romney ho ha resumit millor en els seus comentaris al periodista Olivier Knox de la ràdio SiriusXM, on va comparar aquest atac amb l'equivalent de bombarders russos que volen sense ser detectats per tot el país exposant la debilitat de la guerra cibernètica dels EUA. Va dir que el silenci i la inacció de la Casa Blanca era inexcusable.

El senador Richard Blumenthal, demòcrata, va tuitejar: El ciberatac de Rússia em va deixar profundament alarmat, de fet francament espantat.

El president electe Joe Biden va dir en un comunicat: Una bona defensa no és suficient; En primer lloc, hem d'interrompre i dissuadir els nostres adversaris de fer ciberatacs importants.

Comparteix Amb Els Teus Amics: