FBI investiga el hackeo a SolarWinds que afectó las redes gubernamentales

Por Zachary Stieber
17 de Diciembre de 2020
Actualizado: 17 de Diciembre de 2020

El Buró Federal de Investigaciones (FBI) está investigando el hackeo a la tecnología SolarWinds, la cual provocó una violación de los sistemas del gobierno de EE. UU., confirmaron las autoridades el miércoles.

La plataforma Orion de SolarWinds, la cual se vio comprometida, es utilizada por las cinco subdivisiones del ejército de EE. UU. y numerosas agencias gubernamentales.

Las redes dentro del gobierno federal se vieron afectadas por dicha violación, la cual se realizó mediante la inserción de malware, o código malicioso, en las actualizaciones del software de Orion.

“Esta es una situación en desarrollo, y mientras seguimos trabajando para comprender el alcance total de esta campaña, sabemos que este compromiso ha afectado a las redes dentro del gobierno federal”, dijo la Oficina del Director de Inteligencia Nacional en un comunicado conjunto con el FBI y la Agencia de Seguridad Cibernética e Infraestructura (CISA) del Departamento de Seguridad Nacional.

“Como líder de la respuesta ante amenazas, el FBI está investigando y reuniendo inteligencia para atribuir, perseguir, e interrumpir a los actores responsables de las amenazas. El FBI está hablando con las víctimas presuntas y conocidas y la información obtenida a través de los esfuerzos del FBI proporcionará indicadores a los defensores de la red e inteligencia a nuestros socios gubernamentales para permitir nuevas acciones”, agregaron las agencias.

El Departamento de Comercio confirmó previamente a The Epoch Times que sus sistemas fueron violados. Al parecer, el Departamento del Tesoro también se vio afectado.

La CISA emitió una directiva de emergencia el 13 de diciembre por la tarde luego de que se diera a conocer la noticia del ataque, ordenando a todas las agencias gubernamentales que usan los productos vulnerables que desconecten los dispositivos afectados de Internet.

“El riesgo de los productos de gestión de la red Orion de SolarWinds plantea riesgos inaceptables para la seguridad de las redes federales”, dijo Brandon Wales, el director interino de la agencia, en una declaración en ese momento. “La directriz de esta noche tiene como objetivo mitigar los posibles riesgos dentro de las redes civiles federales, e instamos a todos nuestros socios—en los sectores público y privado—a evaluar su exposición a este riesgo y proteger sus redes contra cualquier explotación”.

La CISA está en contacto habitual con agencias gubernamentales, entidades privadas, y socios internacionales, según el nuevo comunicado conjunto. La agencia proporciona asistencia técnica cuando se le solicita y pone a disposición información y recursos.

“La CISA está colaborando con nuestras partes interesadas ​​públicas y privadas en toda la comunidad de infraestructura crítica para asegurarse de que ellos comprendan su exposición y están tomando medidas para identificar y mitigar cualquier compromiso”, dijo el comunicado.

Mientras tanto, la Oficina del Director de Inteligencia Nacional, está “ayudando a reunir todos los recursos relevantes de la comunidad de inteligencia para apoyar esta labor y compartir información en todo el gobierno de Estados Unidos”.

Las actualizaciones vulnerables de la plataforma Orion fueron utilizadas por hasta 18,000 empresas, según SolarWinds, una empresa de tecnología de la información con sede en EE. UU.

Según una lista parcial de clientes que fue retirada de la red esta semana, Blue Cross Blue Shield, H&R Block, y Siemens están entre las empresas que utilizan la tecnología SolarWinds. Un portavoz del Departamento de Defensa dijo a los medios de comunicación que la compañía usa Orion, pero “por razones de seguridad operativa”, no comentará si se vio afectada o qué medidas tomó.

Un investigador de seguridad dijo que el año pasado se le advirtió a la compañía que era posible acceder a su servidor de actualización de software usando una contraseña simple.

FireEye, una empresa de ciberseguridad que se vio comprometida este mes, dijo en un posteo de blog que el hackeo podría remontarse a marzo. También dijo que las redes hackeadas se estaban comunicando con un nombre de dominio malicioso, avsmcloud.com.

Según Brian Krebs, un experto en seguridad online, hubo indicios de que el control del dominio se transfirió recientemente a Microsoft, el cual remitió las preguntas a FireEye.

Microsoft dijo que está monitoreando la situación “que rodea el descubrimiento de un ataque sofisticado” que incluía binarios en riesgo de SolarWinds que “podían ser utilizarlos por los atacantes para acceder a dispositivos de forma remota”. Se le pidió a los clientes que aislaran inmediatamente el dispositivo afectado e investigaran si había sido violado.

FireEye le dijo a Krebs que la transferencia de dominio era parte de una respuesta al hackeo, un intento de evitar que las redes que podrían haber sido afectadas por el software vulnerable se comuniquen con los atacantes.

“FireEye colaboró ​​con GoDaddy y Microsoft para desactivar las infecciones de SUNBURST”, dijo la compañía. La empresa dijo que identificó un “kill switch” que bloquea SUNBURST, el malware, y que el kill switch repercutirá en las infecciones de malware nuevas y anteriores.

“Este kill switch no eliminará al actor de las redes víctimas donde han establecido otras puertas traseras. Sin embargo, será más difícil para el actor aprovechar las versiones previamente distribuidas de SUNBURST”, dijo.

Siga a Zachary en Twitter: @zackstieber


Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí

A continuación: Los chinos siguen con interés las elecciones presidenciales de EE. UU.

Done a The Epoch Times

Cómo puede usted ayudarnos a seguir informando

¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.

TE RECOMENDAMOS