A medida que Estados Unidos se enfrenta a un ciberataque ruso de gran alcance contra agencias federales, corporaciones privadas y la infraestructura del país, ha surgido nueva evidencia de que los piratas informáticos cazaron a sus víctimas a través de múltiples canales.
Las intrusiones más importantes descubiertas hasta ahora se llevaron a cabo en el software de SolarWinds, la empresa con sede en Austin cuyas actualizaciones comprometieron los rusos. Pero la nueva evidencia de la firma de seguridad CrowdStrike sugiere que las empresas que venden software en nombre de Microsoft también se utilizaron para ingresar a los clientes del software Office 365 de Microsoft.
Debido a que a los revendedores a menudo se les confía la configuración y el mantenimiento del software de los clientes, ellos, como SolarWinds, han sido un frente ideal para los piratas informáticos rusos y una pesadilla para los clientes de la nube de Microsoft, que aún están evaluando qué tan profundo en sus sistemas han penetrado los piratas informáticos rusos.
“No pudieron ingresar directamente a Microsoft 365, por lo que se enfocaron en el punto más débil de la cadena de suministro: los revendedores”, dijo Glenn Chisholm, fundador de Obsidian, una firma de ciberseguridad.
CrowdStrike confirmó el miércoles que también era un objetivo del ataque. En el caso de CrowdStrike, los rusos no utilizaron SolarWinds sino un revendedor de Microsoft, y el ataque no tuvo éxito. Una portavoz de CrowdStrike, Ilina Dimitrova, se negó a dar más detalles más allá de una publicación de blog de la compañía que describe el intento de ataque.
El enfoque no es diferente al ataque de 2013 a Target en el que los piratas informáticos entraron a través del proveedor de calefacción y refrigeración del minorista.ON TECH CON SHIRA OVIDE : su guía sobre cómo la tecnología está transformando nuestras vidas, en la época del coronavirus y más allá.
Los últimos ataques rusos, que se cree que comenzaron la primavera pasada, han dejado al descubierto un punto ciego sustancial en la cadena de suministro de software. Las empresas pueden rastrear los ataques de phishing y malware todo lo que quieran, pero siempre que confíen ciegamente en proveedores y servicios en la nube como Microsoft, Salesforce, G-Suite de Google, Zoom, Slack, SolarWinds y otros, y les brinden un amplio acceso al correo electrónico de los empleados y corporativos. redes: nunca serán seguras, dicen los expertos en ciberseguridad.
“Estos servicios en la nube crean una red de interconexiones y oportunidades para el atacante”, dijo Chisholm. “Lo que estamos presenciando ahora es una nueva ola de ataques modernos contra estas modernas plataformas en la nube, y necesitamos defensas en 2021”.
Algunos informes han confundido el último desarrollo con una violación del propio Microsoft. Pero la compañía dijo que mantenía su declaración de la semana pasada de que no fue pirateada, ni se usó para atacar a los clientes.
Pero el descubrimiento de CrowdStrike muestra cómo los piratas informáticos rusos utilizaron a sus revendedores para dirigirse a sus clientes indirectamente. CrowdStrike dijo en una publicación de blog el miércoles que los piratas informáticos intentaron leer los correos electrónicos de la compañía desde una cuenta de revendedor, pero no pudieron obtener acceso a sus datos o sistemas.
Los funcionarios de Estados Unidos no detectaron el ataque hasta las últimas semanas, y solo luego cuando una empresa privada de ciberseguridad , FireEye , alertó a la inteligencia estadounidense de que los piratas informáticos habían evadido capas de defensas.
Era evidente que los Departamentos del Tesoro y Comercio, las primeras agencias reportadas como violadas, eran solo parte de una operación mucho más grande cuya sofisticación sorprendió incluso a los expertos que han estado siguiendo un cuarto de siglo de ataques rusos al Pentágono y agencias civiles estadounidenses.
La Agencia de Seguridad Nacional, la principal organización de inteligencia estadounidense que piratea redes extranjeras y defiende a las agencias de seguridad nacional de los ataques, aparentemente no sabía de la brecha en el software de monitoreo de red creado por SolarWinds hasta que fue notificada la semana pasada por FireEye. La propia Agencia de Seguridad Nacional utiliza el software SolarWinds.
Dos de las infracciones más vergonzosas se produjeron en el Pentágono y el Departamento de Seguridad Nacional, cuya Agencia de Seguridad de Infraestructura y Ciberseguridad supervisó la exitosa defensa del sistema electoral estadounidense el mes pasado.
Los piratas informáticos rusos detrás del ataque irrumpieron en el sistema de correo electrónico utilizado por altos funcionarios del Departamento del Tesoro en julio.
Las computadoras de al menos dos docenas de organizaciones, incluidas Cisco, Intel, Nvidia, Deloitte y el Departamento de Hospitales Estatales de California, parecen haber sido pirateadas , informó The Wall Street Journal. Algunos de los grupos, como Intel y Deloitte, dijeron que el ataque no afectó a sus sistemas más delicados.
