Estados Unidos ha culpado a Rusia por una devastadora campaña de ciberataques que ha afectado a agencias gubernamentales y corporaciones en todo el país.

Para investigar el incidente, Estados Unidos ha reunido un grupo de trabajo conocido como Cyber ​​Unified Coordination Group (UCG), compuesto por el FBI, CISA (la Agencia de Seguridad de Infraestructura y Ciberseguridad) y ODNI (la Oficina del Director de Inteligencia Nacional). ) con el apoyo de la NSA, dijo el grupo el martes. La UCG se está esforzando actualmente por comprender el alcance del ataque, pero ha nombrado al posible culpable.

En una declaración conjunta, las agencias dijeron que el trabajo “indica que un actor de Advanced Persistent Threat (APT), probablemente de origen ruso, es responsable de la mayoría o de todos los ciberataques en curso recientemente descubiertos en redes gubernamentales y no gubernamentales.” Además, el grupo dijo que cree que el incidente fue diseñado como un esfuerzo de recopilación de inteligencia, lo que significa una operación de vigilancia destinada a encontrar información confidencial y sensible.

Las campanas de alarma sobre este asunto sonaron en diciembre cuando la firma de seguridad FireEye y otras organizaciones revelaron que agencias gubernamentales clave de los Estados Unidos fueron comprometidas por una nación-estado extranjera en una serie de ciberataques. Los atacantes aprovecharon una vulnerabilidad en el monitor de red SolarWinds Orion para ocultar código malicioso en actualizaciones de software legítimas. Como resultado, los piratas informáticos pudieron monitorear los correos electrónicos internos y otros datos en las agencias y empresas objetivo.

Las últimas conclusiones de la UCG coinciden con las realizadas por otros funcionarios, así como por expertos y analistas en seguridad. Varias partes ya habían implicado a Rusia como culpable, al menos extraoficialmente, diciendo que los atacantes eran del grupo APT29 (también conocido como Cozy Bear), que forma parte del servicio de inteligencia exterior SVR de Rusia.

“Varios medios de comunicación han informado que APT29, un grupo de piratería patrocinado por el estado ruso también conocido como Cozy Bear, estaba detrás de la campaña SolarWinds”, dijo a TechRepublic Lior Div, director ejecutivo de la firma de seguridad Cybereason, en diciembre. “Esta no es la primera vez que vemos a los rusos usar este método. Para un ataque a la cadena de suministro de esta naturaleza, la cantidad de mano de obra y el tiempo necesarios para prepararse y la precisión requerida por los actores de la amenaza lo hacen muy difícil de lograr.”

Incluso el secretario de Estado Mike Pompeo declaró en una entrevista que estaba bastante claro que los rusos participaron en estos ciberataques. Una de las pocas personas notables que puso en duda a Rusia como fuente fue el presidente saliente Donald Trump, quien tuiteó el 19 de diciembre la idea de que China podría haber estado detrás del ataque. Pero Trump se ha mostrado reticente durante mucho tiempo a criticar a Rusia o al presidente ruso Vladimir Putin por cualquier amenaza real o percibida a Estados Unidos.

En su comunicado, la UCG reveló más detalles sobre los ataques. De las aproximadamente 18,000 agencias gubernamentales y empresas del sector privado que se vieron afectadas por la infracción, menos de 10 agencias se vieron comprometidas por las actividades de seguimiento. El grupo dijo que está trabajando para identificar y notificar a cualquier organización no gubernamental que pueda haber sido atacada de esta manera.

Cada una de las organizaciones de la UCG está desempeñando su propio papel en la investigación y mitigación de este incidente. El FBI está identificando a las víctimas, recopilando y analizando pruebas y compartiendo los resultados con las partes necesarias. CISA está compartiendo información y emitiendo recomendaciones sobre el uso del producto Orion y las medidas de seguridad adecuadas.

ODNI se asegura de que UCG tenga la información más actualizada, mientras que la NSA proporciona inteligencia, experiencia en ciberseguridad y orientación a otros miembros del grupo. Pero limpiar después del desastre no será una tarea fácil.

“El esfuerzo de limpieza llevará muchos meses y consumirá una gran cantidad de tiempo y dinero”, dijo a TechRepublic Dirk Schrader, vicepresidente global de la firma de seguridad New Net Technologies.

“Se recomienda a las organizaciones que han estado utilizando la solución SolarWinds Orion que asuman que sus redes y sistemas han sido infiltrados y necesitarán adoptar eso”, dijo Schrader. “Algunas áreas altamente sensibles pueden incluso requerir un barrido limpio y una nueva instalación de todos los activos involucrados. Simplemente regresar a una versión segura de Orion no es suficiente, cuando tienes que asumir que se ha establecido un punto de apoyo y se han eliminado los rastros relacionados. El futuro cercano dirá qué organización se ha tomado en serio esta tarea y cuál no “.

Todos los involucrados en este asunto, desde analistas hasta expertos y el gobierno de los Estados Unidos, también están de acuerdo en que esta violación es un asunto grave y que llevará tiempo y esfuerzo investigar y mitigar.

“Este es un compromiso serio que requerirá un esfuerzo sostenido y dedicado para remediar”, dijo la UCG en su comunicado. “Desde su descubrimiento inicial, la UCG, incluidos los profesionales trabajadores de todo el gobierno de los Estados Unidos, así como nuestros socios del sector privado, han estado trabajando sin descanso. La UCG continuará tomando todas las medidas necesarias para investigar, remediar y compartir información con nuestros socios y el pueblo estadounidense “.

Pero, ¿son los esfuerzos del gobierno demasiado escasos y demasiado tardíos?

“El gobierno ya debería haber tenido una unidad coordinada de respuesta rápida con estas capacidades hace años”, dijo a TechRepublic Brandon Hoffman, director de seguridad de la información de la firma de seguridad NetEnrich. “Tal vez lo hicieron y solo lo estamos descubriendo ahora, pero si no lo hicieron, eso parece espantoso considerando que es lo que se espera de las organizaciones del sector privado durante años”.

“Una corriente paralela al triaje actual debería ser un examen de por qué nuestras defensas y otros sistemas de alerta temprana fallaron tan miserablemente”, agregó Hoffman. “Esto debe considerarse un esfuerzo crítico. Mientras estamos ocupados evaluando, seguramente hay intentos adicionales o posteriores de otros adversarios en todo el mundo. Hay sangre en el agua y todos la huelen”. Whitney, L. January 6, 2021.