El gobierno de los EE. UU. Investiga el hackeo de VPN dentro de las agencias federales y se apresura a encontrar pistas
hace 4 años
(Mundo Informático) - Por al menos la tercera vez desde principios de este año, el gobierno de Estados Unidos está investigando un ataque contra agencias federales que comenzó durante la administración Trump pero fue descubierto recientemente, según altos funcionarios estadounidenses y defensores cibernéticos del sector privado.
Es el último ataque cibernético de la cadena de suministro, que destaca cómo los grupos sofisticados, a menudo respaldados por el gobierno, están apuntando al software vulnerable creado por terceros como un trampolín hacia las redes informáticas gubernamentales y corporativas sensibles.
Las nuevas infracciones gubernamentales involucran una popular red privada virtual (VPN) conocida como Pulse Connect Secure, en la que los piratas informáticos pudieron ingresar a medida que los clientes la usaban.
Más de una docena de agencias federales ejecutan Pulse Secure en sus redes, según los registros de contratos públicos. Una directiva de ciberseguridad de emergencia exigió la semana pasada que las agencias escaneen sus sistemas en busca de compromisos relacionados e informen.
Los resultados, recopilados el viernes y analizados esta semana, muestran evidencia de posibles violaciones en al menos cinco agencias civiles federales, dijo Matt Hartman, un alto funcionario de la Agencia de Seguridad de Infraestructura de Ciberseguridad de EE. UU.
“Esta es una combinación de espionaje tradicional con algún elemento de robo económico”, dijo un consultor de ciberseguridad familiarizado con el asunto. "Ya hemos confirmado la exfiltración de datos en numerosos entornos".
El fabricante de Pulse Secure, la empresa de software Ivanti, con sede en Utah, dijo que esperaba proporcionar un parche para solucionar el problema este lunes, dos semanas después de su primera publicidad. Solo se había penetrado en un “número muy limitado de sistemas de clientes”, agregó.
Durante los últimos dos meses, CISA y el FBI han estado trabajando con Pulse Secure y las víctimas del ataque para expulsar a los intrusos y descubrir otras pruebas, dijo otro alto funcionario estadounidense que se negó a ser identificado, pero está respondiendo a los ataques. El FBI, el Departamento de Justicia y la Agencia de Seguridad Nacional declinaron hacer comentarios.
La investigación del gobierno de EE. UU. Sobre la actividad de Pulse Secure aún se encuentra en sus primeras etapas, dijo el alto funcionario de EE. UU., Quien agregó que el alcance, el impacto y la atribución siguen sin estar claros.
Los investigadores de seguridad de la firma estadounidense de ciberseguridad FireEye y otra firma, que se negó a ser identificada, dicen que han observado a múltiples grupos de piratería, incluido un equipo de élite que asocian con China, explotando la nueva falla y varias otras similares desde 2019.
En un comunicado la semana pasada, el portavoz de la embajada china, Liu Pengyu, dijo que China "se opone firmemente y toma medidas enérgicas contra todas las formas de ciberataques", y describió las acusaciones de FireEye como "irresponsables y mal intencionadas".
El uso de VPN, que crean túneles encriptados para conectarse de forma remota a las redes corporativas, se ha disparado durante la pandemia de COVID-19. Sin embargo, con el crecimiento en el uso de VPN, también lo ha hecho el riesgo asociado.
“Este es otro ejemplo en un patrón reciente de actores cibernéticos que se enfocan en vulnerabilidades en productos VPN ampliamente utilizados, ya que nuestra nación permanece en posiciones de trabajo remotas e híbridas”, dijo Hartman.
Tres consultores de ciberseguridad involucrados en responder a los ataques dijeron a Mundo Informático que la lista de víctimas está ponderada hacia Estados Unidos y hasta ahora incluye contratistas de defensa, agencias gubernamentales civiles, empresas de energía solar, empresas de telecomunicaciones e instituciones financieras.
Los consultores también dijeron que estaban al tanto de menos de 100 víctimas combinadas hasta ahora entre ellos, lo que sugiere un enfoque bastante estrecho por parte de los piratas informáticos.
Los analistas creen que la operación maliciosa comenzó alrededor de 2019 y explotó fallas más antiguas en Pulse Secure y productos separados fabricados por la firma de ciberseguridad Fortinet antes de invocar las nuevas vulnerabilidades.
Hartman dijo que los ataques a las agencias civiles se remontan al menos a junio de 2020.
HACKEAR EL SUMINISTRO
Un informe reciente del Atlantic Council, un grupo de expertos de Washington, estudió 102 incidentes de piratería en la cadena de suministro y descubrió que aumentaron en los últimos tres años. Treinta de los ataques provinieron de grupos respaldados por el gobierno, principalmente en Rusia y China, según el informe.
La respuesta de Pulse Secure se produce cuando el gobierno todavía está lidiando con las consecuencias de otros tres ciberataques.
El primero se conoce como el hack de SolarWinds, en el que presuntos piratas informáticos del gobierno ruso se apropiaron del programa de gestión de redes de la empresa para meterse dentro de nueve agencias federales.
Una debilidad en el software del servidor de correo electrónico de Microsoft, llamado Exchange, explotado por un grupo diferente de piratas informáticos chinos, también requirió un esfuerzo de respuesta masivo, aunque finalmente no hubo impacto en las redes federales, según funcionarios estadounidenses.
Luego, una debilidad en un fabricante de herramientas de programación llamado Codecov dejó a miles de clientes expuestos dentro de sus entornos de codificación, reveló la compañía este mes.
Algunas agencias gubernamentales se encontraban entre los clientes que hicieron que los piratas informáticos de Codecov tomaran credenciales para acceder más a los repositorios de códigos u otros datos, según una persona informada sobre la investigación. Codecov, el FBI y el Departamento de Seguridad Nacional se negaron a comentar sobre ese caso.
EE.UU. planea abordar algunos de estos problemas sistémicos con una próxima orden ejecutiva que requerirá que las agencias identifiquen su software más crítico y promuevan una “lista de materiales” que exija un cierto nivel de seguridad digital en todos los productos vendidos al gobierno.
"Nosotros pensamos [this is] la forma más impactante de imponer costos a estos adversarios y hacerlo mucho más difícil ”, dijo el alto funcionario estadounidense.
Reporte de Christopher Bing y Joseph Menn; edición de Jonathan Weber y Edward Tobin
Nuestros estándares: los principios de confianza de Thomson Mundo Informático.
Si quieres conocer otros artículos parecidos a El gobierno de los EE. UU. Investiga el hackeo de VPN dentro de las agencias federales y se apresura a encontrar pistas puedes visitar la categoría Tecnología.
Otras noticias que te pueden interesar