SolarWinds ciberataque a agencias gubernamentales y organizaciones privadas estadounidenses fue y es aterrador en su escala y éxito. Ha demostrado la ineficiencia de las agencias gubernamentales encargadas de defenderse de este tipo de ataques y ha destacado el hecho de que el modelo actual del gobierno para reponer las amenazas cibernéticas, es deficiente.
El comité de inteligencia del Senado recibió el martes a algunos de los principales actores de la saga SolarWinds; para una investigación sobre cómo el gobierno y las empresas tecnológicas privadas deberían trabajar juntos para protegerse de futuros ataques. Es probable que, algunos de los temas clave discutidos en la audiencia terminen en una nueva legislación de ciberseguridad este año, dijo una fuente del Congreso.
Ataque de hackers a SolarWinds: ¿Qué es?
SolarWinds es el nombre de la empresa con sede en Texas cuyo software de administración de TI es utilizado por muchas agencias gubernamentales y empresas fortune 500. En marzo de 2020, los atacantes; que se cree que son empleados por los servicios de inteligencia extranjeros de Rusia, plantaron malware en el sistema SolarWinds; que envía actualizaciones al software Orion de SolarWinds.
Cuando los clientes de la compañía, 18.000, instalaron la actualización, instalaron el malware. El ataque fue finalmente reportado en diciembre de 2020 por la compañía de seguridad privada FireEye. Y sólo porque la compañía descubrió que sus sistemas habían sido infectados.
El ataque de SolarWinds fue algo nuevo, ya que se dirigió tanto al gobierno como a las entidades del sector privado, y se utilizó como caballo de Troya para acceder a los sistemas de agencias gubernamentales. Los «sombreros blancos«, los vales de seguridad, no estaban listos para esta forma indirecta de atacar.
Defensa en ataques
Durante la audiencia, El CEO de SolarWinds, Sudhakar Ramakrishna; dijo que la comunidad de seguridad sabe cómo defenderse de ataques directos a redes y ataques de un estafador, en los que los hackers pretenden ser una parte de confianza y tratar de engañar a los empleados de la empresa objetivo. Además de hacer que den sus credenciales de red. Los expertos en seguridad tienen menos experiencia con ataques que explotan a un proveedor de software del sector privado al gobierno para entrar.
Se cree que los atacantes penetraron en los sistemas de 100 empresas privadas y 11 agencias gubernamentales incluidos los Departamentos de Estado, Energía, Seguridad Nacional y Tesorería, y la Administración Nacional de Seguridad Nuclear. Empresas privadas como Microsoft, Cisco e Intel también se han visto afectadas.
SolarWinds puede no haber sido el único proveedor privado a través del cual los atacantes encontraron su camino en los sistemas gubernamentales. De hecho, Robert McMillan y Dustin Volz del Wall Street Journal informó que el 30% de las organizaciones de víctimas conocidas no eran clientes de SolarWinds. Esto puede significar que otros proveedores de TI del gobierno se han utilizado como caballos de Troya.
Conectar puntos
En cierto modo, el ataque a SolarWinds parecía diseñado para explotar la falta de comunicación y cooperación entre expertos en seguridad del gobierno y del sector privado. Las pruebas del ataque aparecieron en las redes de numerosas empresas privadas y organismos públicos.
Los atacantes lanzaron su red y no se centraron demasiado en un solo punto de entrada. Brad Smith, presidente de Microsoft, dijo al comité que su compañía cree que el 80 por ciento de las 60 entidades afectadas por el ataque de SolarWinds están afuera de Estados Unidos. Agregó que los atacantes pueden haber atacado organizaciones extranjeras que emplean a personas que trabajan en proyectos con el gobierno de Estados Unidos y tienen acceso a la red.
Esto hizo que el ataque más duro, fuera para detectarlo. Varios miembros del personal de seguridad de todo el mundo pueden haber vislumbrado algo extraño en su red, pero puede que no hayan visto todo el panorama. Eso fue hasta que FireEye habló con él.
«Creo que había mucha actividad que fuera de contexto nadie podía [usar] para ver el mayor problema», dijo el ceo de FireEye, Kevin Mandia. «En el momento en que encontramos el implante, y en el momento en que revelamos lo que sucedió, conectó muchos puntos para mucha gente.»
Resultados
Un resultado de la audiencia podría ser la legislación que establece una cámara de compensación federal central para la información en amenazas cibernéticas, donde tanto las entidades gubernamentales como las empresas privadas pueden reportar evidencia de amenazas o ataques.
«Necesitamos mejorar el intercambio de información sobre amenazas cibernéticas», dijo Smith de Microsoft. Y el intercambio efectivo puede necesitar ser más que voluntario. «Creo que es hora no sólo de hablar, sino de encontrar una manera de… imponer adecuadamente algún tipo de obligación de notificación a las entidades del sector privado«, dijo Smith.
El problema es que las empresas que han sido atacadas tienen algunas buenas razones para no denunciarlo. Pueden temer a una exposición legal. Por lo tanto, un centro de compensación de informes de amenazas cibernéticas debe ser confidencial. El presidente del Comité Mark Warner, un senador demócrata de Virginia, dijo que podría haber interés en ofrecer a esas compañías algún tipo de protección a cambio de ser contundentes con el gobierno sobre los detalles de un ataque.
Algo anda mal
El Comando Cibernético de Estados Unidos, dependiente de la Agencia de Seguridad Nacional, está como la primera línea de defensa contra los ataques a las redes gubernamentales. Pero estaba «cegado» por el ataque de SolarWinds, informaron David Sanger, Nicole Perlroth y Eric Schmitt al New York Times.
La NSA es incapaz por ley de poner sensores dentro de las redes de empresas privadas como SolarWinds. Hacerlo equivaldría a vigilancia masiva. Así que la agencia sólo puede buscar señales de un ataque a las redes de agencias gubernamentales, no en redes de entidades que los atacantes podrían explotar como caballos de Troya.
Hackers de cualquier calibre lo saben, por lo que realizan mando y control para sus hazañas en servidores ubicados en los Estados Unidos. En este último ataque, los atacantes utilizaron servidores Amazon Web Services.
El Comando Cibernético de EE.UU. no estuvo presente en la audiencia del Senado para Intel, nor era Amazon. Varios senadores en el comité expresaron su frustración por la falta de presencia de Amazon.
«Habíamos extendido una invitación a Amazon para participar. La operación que vamos a discutir hoy utiliza su infraestructura [y], al menos en parte, la necesitó para tener éxito», dijo el senador republicano Marco Rubio de Florida. «Aparentemente estaban demasiado ocupados para discutirlo aquí con nosotros hoy, espero que lo piensen de nuevo en el futuro».
Ataque descubierto
El senador republicano Susan Collins de Maine y presidente del comité Warner se preguntó en voz alta por qué Amazon no estaba presente. Ahora han pasado más de dos meses desde que el ataque de SolarWinds fue descubierto, y el gobierno todavía no sabe qué lo causó, o si el ataque terminó.
«Hemos tenido una serie de suposiciones en los últimos meses trabajando con nuestros socios de investigación», dijo Ramakrishna de SolarWinds. «Hemos sido capaces de reducirlos ahora a unos tres, que esperamos concluir en uno. Todavía estamos examinando terabytes de datos», agregó.
Cuando termine la investigación y el gobierno tenga una comprensión más clara de los atacantes y sus probables motivos, todas las miradas estarán puestas en la administración Biden para decidir cómo responder. La respuesta a ataques cibernéticos pasados generalmente ha dado lugar a sanciones contra algún actor estatal como China, Corea del Norte o Irán. Pero el ataque de SolarWinds fue tan grande, y los datos del gobierno a los que se dirigió tan sensiblemente, que las sanciones simples podrían no ser suficientes.