Preguntas sin respuesta en el hackeo de SolarWinds Orion

por Kevin Reed
30 diciembre 2020

El 14 de diciembre, la empresa de infraestructura de TI SolarWinds confirmó que los piratas informáticos habían incorporado malware en las actualizaciones de software para su plataforma insignia Orion y que el código malicioso se había enviado a hasta 18.000 de sus clientes.

El anuncio emitido apresuradamente de la empresa con sede en Austin, Texas, decía: “Este ataque fue un ataque de cadena de suministro muy sofisticado, que se refiere a una interrupción en un proceso estándar que da como resultado un resultado comprometido con el objetivo de poder atacar a los usuarios posteriores del software."

SolarWinds Orion es ampliamente utilizado por agencias gubernamentales de EE. UU. y corporaciones Fortune 500, así como por pequeñas y medianas empresas, para realizar tareas básicas de conexión y sistemas de información, tales como administración de cuentas de usuario y monitoreo de desempeño, informes y alertas. Según la literatura de marketing de la empresa, Orion se vende como una "arquitectura escalable que llega a todos sus entornos de TI físicos, virtualizados y en la nube".

El edificio de la Cámara de Comercio de Estados Unidos en Washington [Crédito: AP Photo / Manuel Balce Ceneta, Archivo]

Una vez que la actualización de software que contiene el programa maligno, ahora conocida como Sunburst o Solorigate, se instala en un sistema host, crea una puerta trasera que se revela a los piratas informáticos después de permanecer inactiva durante 12 a 14 días. SolarWinds dijo que el código malicioso del caballo de Troya había estado presente en las actualizaciones que se distribuyeron entre marzo y junio de este año.

Reuters informó un día después del anuncio de SolarWinds que "los piratas informáticos ya han aprovechado su acceso en infracciones consecuentes en el Tesoro y el Departamento de Comercio de Estados Unidos". La agencia de noticias dijo que "varios delincuentes se han ofrecido a vender el acceso a las computadoras de SolarWinds a través de foros clandestinos, según dos investigadores que tenían acceso por separado a esos foros".

La Agencia de Seguridad de Infraestructura de Ciberseguridad de EE. UU. (CISA) del Departamento de Seguridad Nacional respondió a la noticia del ataque con una directiva de emergencia que decía: “Las agencias afectadas desconectarán o apagarán inmediatamente los productos SolarWinds Orion, versiones 2019.4 a 2020.2.1 HF1, de su red. Hasta que CISA indique a las entidades afectadas que reconstruyan el sistema operativo Windows y reinstalen el paquete de software SolarWinds, las agencias tienen prohibido (re) unir el sistema operativo host de Windows al dominio empresarial".

Si bien la información publicada sobre el malware Sunburst por SolarWinds y el CISA hizo referencia a la "actividad del actor de amenazas" y que "puede haber sido realizada por un Estado nacional externo", ni dio un origen nacional específico ni una identidad verificada del atacante cibernético.

Los medios corporativos se lanzaron inmediatamente a la acción para afirmar que Rusia era responsable de la infracción. El mismo día en que se publicó el reconocimiento de SolarWinds, por ejemplo, el New York Times publicó un artículo titulado “El alcance de la piratería rusa se vuelve claro: varias agencias estadounidenses fueron atacadas”, en coautoría de David Sanger.

Por su parte, el Washington Post publicó un artículo el 14 de diciembre, "Los piratas informáticos del gobierno ruso están detrás de una amplia campaña de espionaje que ha comprometido a las agencias estadounidenses, incluidas Hacienda y Comercio", que incluía lo siguiente: "Los piratas informáticos rusos, conocidos por los apodos APT29 o Cozy Bear, son parte del servicio de inteligencia exterior de esa nación, el SVR, y violaron los sistemas de correo electrónico en algunos casos, dijeron las personas familiarizadas con las intrusiones, que hablaron bajo condición de anonimato debido a la sensibilidad del asunto".

Durante los siguientes días, los representantes de la élite política estadounidense, tanto demócratas como republicanos, comenzaron a repetir la afirmación de que el gobierno ruso estaba detrás del hack de SolarWinds, y algunos lo llamaron un "acto de guerra".

El 16 de diciembre, el líder de la minoría del Senado del Partido Demócrata, Dick Durbin, de Illinois, dijo a CNN: "Esta es prácticamente una declaración de guerra de Rusia a Estados Unidos y deberíamos tomarla en serio". Dos días después, Marco Rubio, senador republicano de Florida, tuiteó: "Los métodos utilizados para llevar a cabo el ciberataque son consistentes con las operaciones cibernéticas rusas", y le dijo a Fox News que el ataque fue "casi, diría yo, un acto de guerra absolutamente".

El 19 de diciembre, durante una entrevista con el presentador de radio derechista Mark Levin, el secretario de Estado Mike Pompeo —partiendo del cargo del presidente Trump— dijo: “Este fue un esfuerzo muy significativo y creo que es el caso que ahora puedo decir con bastante claridad que fueron los rusos los que participaron en esta actividad".

Tanto los medios corporativos como los miembros del establishment político estadounidense afirman que Rusia fue responsable de la violación a pesar de la falta de pruebas que respalden sus afirmaciones.

Por otro lado, los nuevos detalles sobre el hackeo de la plataforma SolarWinds Orion, ampliamente utilizada, plantean serias dudas sobre los eventos de las últimas tres semanas.

Según expertos en seguridad y exempleados, SolarWinds era extremadamente vulnerable a una intrusión como Sunburst, no solo por el uso generalizado de su software por parte del gobierno y las empresas, sino también por sus propias prácticas de seguridad descuidadas. The New York Times informó, por ejemplo: “La empresa no tenía un director de seguridad de la información, y los correos electrónicos internos compartidos con el New York Times mostraron que las contraseñas de los empleados se filtraban en GitHub el año pasado. Reuters informó anteriormente que un investigador informó a la compañía el año pasado que había descubierto la contraseña del mecanismo de actualización de SolarWinds —el vehículo a través del cual 18.000 de sus clientes se vieron comprometidos. La contraseña era 'solarwinds123'".

Mientras tanto, Robert K. Knake, un alto funcionario de seguridad cibernética de la administración Obama, preguntó en Twitter: “Estoy luchando con lo que significa el incidente de SolarWinds para defenderme. ¿Cómo no es esto una falla masiva de inteligencia, particularmente dado que supuestamente éramos por encima de los actores de amenazas rusos antes de las elecciones?" y “La CI [Comunidad de Inteligencia] siguió informando que los rusos estaban apuntando a las elecciones. Eso no sucedió, pero ¿fue la evidencia de que fueron plantados? ¿Cayó la NSA en una trampa mientras la SVR [agencia de inteligencia rusa] saqueaba silenciosamente el gobierno de los Estados Unidos y la industria?"

La verdad es que Estados Unidos dirige lo que es, con mucho, la operación de ciber espionaje más amplia y sofisticada del mundo. Como lo reveló el excontratista de inteligencia de la oficina de la CIA y la Agencia de Seguridad Nacional (NSA) Edward Snowden, existe evidencia fáctica bien documentada de que el gobierno de EE. UU. se ha involucrado en una vigilancia pública sin orden judicial a gran escala —con los sistemas PRISM y XKeyscore—y se infiltra y recopila inteligencia en los sistemas informáticos de entidades extranjeras a través de la Oficina de Operaciones de Acceso Personalizado de la NSA.

Como reveló WikiLeaks en 2015, el gobierno de los Estados Unidos intervino las llamadas telefónicas de la canciller alemana Angela Merkel y sus asesores más cercanos durante años y espió al personal de sus predecesores Gerhard Schroeder y Helmut Kohl.

En julio pasado, los piratas informáticos violaron la seguridad en Twitter y tomaron el control de docenas de cuentas de alto perfil, incluidas las de Joseph Biden, Barack Obama, Jeff Bezos y Bill Gates. Durante el hackeo de Twitter, los intrusos obtuvieron el control de un panel de control utilizado por los administradores en la plataforma de redes sociales de microblogs para incluir en la lista negra y censurar el contenido hasta el nivel de usuarios específicos y sus tuits individuales.

Aunque dos adolescentes —uno de Florida y el otro de Massachusetts— fueron acusados de violar la seguridad de Twitter, uno de ellos pretendiendo trabajar para el departamento de TI de la empresa, no se ha dicho nada sobre la exposición del tablero de control de listas negras.

Por último, el anuncio del hack de SolarWinds fue precedido por un informe de la consultora privada de ciberseguridad e inteligencia estadounidense FireEye el 8 de diciembre de que la empresa fue “atacada por un actor de amenazas altamente sofisticado, cuya disciplina, seguridad operativa y técnicas nos llevan a creo que fue un ataque patrocinado por un Estado".

El director ejecutivo Kevin Mandia publicó una publicación de blog en la que los piratas informáticos habían utilizado "una combinación novedosa de técnicas que no hemos visto nosotros ni nuestros socios en el pasado" para obtener acceso a las "herramientas de evaluación del equipo rojo de FireEye que utilizamos para probar la seguridad de nuestros clientes". Aunque Mandia no informó con precisión cuándo se vio comprometido el software de prueba de FireEye, escribió que "estamos lanzando métodos y medios de manera proactiva para detectar el uso de nuestras herramientas del Equipo Rojo robadas".

Además, Mandia agregó: "Hasta la fecha no hemos visto evidencia de que ningún atacante haya utilizado las herramientas del Equipo Rojo robadas" y "no hemos visto evidencia de que el atacante haya extraído datos de nuestros sistemas primarios que almacenan información del cliente de nuestra respuesta a incidentes o consultoría" o los metadatos recopilados por nuestros productos en nuestros sistemas dinámicos de inteligencia de amenazas".

El CEO de FireEye no atribuyó el ataque a ningún actor o patrocinador estatal de “Advanced Persistent Threat” en particular, ni identificó la plataforma SolarWinds Orion como un objetivo potencial de la intrusión.

Ese mismo día, el Washington Post publicó un artículo, basado en las revelaciones de FireEye, que "espías rusos" habían "llevado a cabo otro descarado hackeo" de la empresa de ciberseguridad y robado sus herramientas del Equipo Rojo. El informe del Post declaró cuidadosamente, "aunque la empresa no lo atribuyó al servicio de inteligencia exterior de Rusia", los rusos eran responsables "según personas familiarizadas con el asunto".

Al día siguiente, el 9 de diciembre, el New York Times publicó un artículo sobre el hack de FireEye que decía: “La compañía de Silicon Valley dijo que los piratas informáticos, casi con certeza rusos, se llevaron herramientas que podrían usarse para montar nuevos ataques en todo el mundo". Ni el Post ni el Times proporcionaron ningún hecho o evidencia específicos que conectaran el ataque de FireEye con las agencias de inteligencia rusas.

(Artículo publicado originalmente en inglés el 28 de diciembre de 2020)

 

El autor también recomienda:

La frenética campaña contra Rusia en anticipación a la presidencia de Biden
[21 diciembre 2020]

La prensa corporativa y los demócratas intensifican denuncias de hackeo ruso contra agencias estadounidenses
[19 diciembre 2020]

US Treasury and Commerce department email systems reportedly hacked
[15 diciembre 2020]