¿Qué tan grave es el ataque a SolarWinds?
Sin duda el 2020 nos ha sorprendido no solo en temas de salud también ha impactado mundialmente a las empresas en cuestión de seguridad informática.
Un hackeo al proveedor informático de gigantes tecnológicos e instituciones gubernamentales como Microsoft y el Pentágono, por mencionar algunas, ha encendido las alarmas en los Estados Unidos y hasta el momento sigue analizándose.
Este proveedor de “software”, desconocido para la mayor parte del público, que trabaja con miles de entidades estratégicas, se ha convertido en la última brecha de ciberseguridad a nivel global y aún se desconoce el alcance al que ha llegado ni quién está detrás del mismo. Pero, eso sí, ya ha dejado graves consecuencias en el camino.
Una de las últimas empresas afectadas en sumarse a la lista ha sido Microsoft, y el problema no deja de crecer. Cisco, Nvidia, Belkin, VMware o Intel también aparecen en la lista y en el terreno público ya han notificado el ataque departamentos de EEUU como la Agencia de infraestructura y ciberseguridad (CISA), el Departamento de Seguridad nacional (DHS), el Departamento de Estado de EEUU, la Administración nacional de seguridad nuclear (NNSA) o el Departamento de Energía.
¿Qué es lo que ha pasado y cómo es que ha llegado tan lejos?
El evento es grande y aún, a casi dos semanas del suceso, se siguen descubriendo rastros, pero poco a poco se van conociendo nuevos detalles.
La firma de seguridad FireEye informó que los atacantes implementaron una actualización con un Backdoor para la plataforma Orion, logrando de esta manera infectar redes de múltiples empresas.
Reuters informo que el incidente se consideró tan grave que llevo a una rara reunión del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca. Reuters dice que la explotación de una vulnerabilidad en Microsoft Office 365 fue la ruta que tomaron los atacantes.
De acuerdo a FireEye, la actualización maliciosa SolarWinds:
- Se realizó a través de la inserción de código en actualizaciones legítimas del software Orion;
- Permite a un atacante acceder de forma remota al entorno de la víctima;
- tiene una huella de malware muy ligera, limitado para cumplir la misión y evitar la detección;
- Prioriza el sigilo: hacer todo lo posible para observar y combinar con la actividad normal de la red;
- Alto OPSEC: se realiza el reconocimiento con paciencia, cubriendo constantemente sus pistas y utilizando herramientas difíciles de atribuir.
Algunas fuentes que hablaron con The Washington Post vinculan la intrusión a APT29 (Cozy Bear), para describir a los atacantes asociados con el Servicio de Inteligencia Exterior de Rusia (SVR).
¿Cuál fue el objetivo?
Es complicado saber quién está detrás y de igual manera saber lo que buscaban. Microsoft, comenta que se trata de un ataque contra EEUU, su gobierno y otras instituciones críticas, pero, va más allá. En algunos comentarios se difunde que: «es un ataque a la confianza y confiabilidad de la infraestructura crítica del mundo para hacer avanzar la agencia de inteligencia de una nación».
La misma idea se comparte entre los diferentes medios los cuales coinciden en que “es una maniobra de espionaje más que de destrucción”.
Kevin Mandia, CEO de FireEye, destaca que, aunque los piratas informáticos pudieron acceder a los sistemas internos, su empresa no ha visto evidencia de que hayan eliminados datos de los sistemas que almacenan información de los clientes.
¿Cómo terminará este ataque?
Hasta el momento es muy pronto para saber como terminara este ataque, pues no se sabe que hicieron los atacantes dentro de las víctimas ni si han aprovechado puertas traseras o herramientas robadas a FireEye. Pero es de advertir que se debe de pensar de manera diferentes y es un aviso de lo que podría pasar más adelante.
En EEUU se ha puesto en duda los sistemas que deberían de haber detectado este tipo de ataque y se ha solicitado a la nueva Administración, precedida por Joe Biden, que ponga más atención a este tipo de ataques. Resta esperar que nuevas medidas se tomaran para la ciberseguridad, pero queda claro que esto es un paso más para un conflicto cibernético global.
