SolarWinds: 5 ataques informáticos de Rusia que transformaron la ciberseguridad en Estados Unidos
El último ciberataque atribuido a Rusia es una especie de recordatorio de que Moscú es el adversario más antiguo de Estados Unidos en el ciberespacio.
Hace unos días, la empresa SolarWinds, que provee la red SolarWinds Orion a 300.000 clientes en todo el mundo, incluyendo el Ejército de EE.UU., el Pentágono, el Departamento de Estado, de Comercio, el de Tesoro y la Oficina presidencial estadounidense., entre otras entidades, reconoció que había sufrido un ataque virtual.
La compañía indicó que las actualizaciones de su sistema habían quedado comprometidas a causa de un código malicioso “altamente sofisticado” y “extremadamente dirigido”. Añadieron que el hecho se originó probablemente por parte de un Estado entre marzo y junio de este año, y que es posible que unos 18.000 de sus clientes resultaron afectados.
El secretario de Estado de EE.UU., Mike Pompeo, culpó a Rusia de lo que se describe como el peor ataque de ciberespionaje contra el gobierno estadounidense.
“Podemos decir con bastante claridad que fueron los rusos los que participaron en esta actividad”, dijo la autoridad el viernes.
Sin embargo, Donald Trump restó importancia a la gravedad del posible hackeo, y señaló que lo sucedido se encontraba “bajo control”. Además puso en duda el papel de Rusia e insinuó que existió participación de China.
El Ministerio de Relaciones Exteriores de Rusia describió las acusaciones como “infundadas”, en un comunicado en Facebook.
Desde hace más de tres décadas se cree que los piratas informáticos vinculados a Moscú intentan robar secretos estadounidenses almacenados línea.
Esos intentos de violaciones de los sistemas estadounidenses han contribuido mucho a definir la manera en la que EE.UU. ve el ciberespacio y cómo se defiende.
Y que no siempre es posible predecir o detener los esfuerzos de que pueden surgir de Moscú o de otros lugares.
Aquí recapitulamos cinco casos que son muestra de ello, incluido el ataque “Sunburst”, a SolarWinds.
1. Cuckoo’s Egg
La primera persona en rastrear a los piratas informáticos extranjeros que tomaron datos confidenciales de EE.UU. no fue un espía, sino un astrónomo que estaba preocupado por un impago de US$0,75.
Cliff Stoll se ocupaba de las redes informáticas de su laboratorio y en 1986, notó que alguien iniciaba sesión para usar una computadora sin pagar. En los próximos meses, siguió su rastro y observó que ese usuario desconocido iba en busca de datos relacionados con el ejército.
En su libro, The Cuckoo’s Egg, Stoll revela cómo finalmente rastreó el inicio de sesión hasta un grupo de piratas informáticos en Alemania que habían vendido su clave de acceso a la KGB, el servicio de inteligencia de Moscú.
El descubrimiento llevó a Stoll a dar parte a funcionarios de inteligencia de EE.UU.
Como primer país en mantener valiosa información en línea, el hallazgo de Stoll fue el indicio inicial de que EE.UU. iba a ser un objetivo lucrativo para los piratas informáticos extranjeros.
2. Moonlight Maze
Una década más tarde, a mediados de la década de 1990, se descubrió la primera gran campaña de ciberespionaje realizada por una agencia de inteligencia estatal.
El caso lleva el nombre en clave de “Moonlight Maze” (laberinto de luz de luna) y algunos de los detalles permanecen clasificados.
Se trataba de un grupo de piratas informáticos de alto nivel que trabajaban “lento y con perfil bajo” para robar secretos militares estadounidenses a través de una “puerta trasera” virtual.
Los atacantes obtuvieron una gran cantidad de información y, por primera vez, los funcionarios de defensa estadounidenses temieron que dejaran algún código oculto para sabotear sus sistemas.
Los investigadores de EE.UU. confiaban en saber quién estaba detrás. Los piratas trabajaban de 08:00 a 17:00 (hora de Moscú) y llamativamente nunca lo hicieron en un feriado de Rusia.
Se encontró idioma ruso en los códigos, sin embargo Moscú lo negó todo y logró estancar la investigación.
Entre los que trabajaron en aquel caso se encontraba Kevin Mandia, actualmente director ejecutivo de la firma de seguridad FireEye, una compañía que todavía brinda seguridad cibernética al gobierno de EE.UU.
Los involucrados dicen que fue la primera vez que entendieron la sofisticación de su adversario y se estimaba que era una organización sucesora del KGB.
3. Buckshot Yankee
En 2008, una memoria USB cargada de software maligno (conocido como malware) posiblemente encontrada en un estacionamiento de una base militar en el extranjero, sacudió a Washington.
El programa informático a unos piratas penetrar en sistemas militares estadounidenses clasificados que se suponía que debían mantenerse fuera de línea.
Un analista tardó cuatro meses en detectar la filtración dentro del Mando Central de Estados Unidos (con sede en Florida) y la operación de limpieza del malware, cuyo nombre en código fue Buckshot Yankee, tomó aún más tiempo.
El ataque estaba vinculado al mismo grupo que estuvo detrás de Moonlight Maze.
El impacto llevó directamente a la creación del Comando Cibernético de EE.UU. dentro del Pentágono, un equipo creado para proteger redes sensibles, pero también para cazar adversarios en línea.
4) Los demócratas
En los años siguientes, China comenzó a recibir más atención, particularmente en lo que respecta al robo de secretos comerciales.
Pero Rusia no quedó al margen ni mucho menos.
Durante las elecciones presidenciales estadounidenses de 2016 resultó que no uno, sino dos equipos de piratería del servicio de inteligencia ruso son señalados de infiltrar al Partido Demócrata.
Se señala que un equipo de el Servicio de Inteligencia Exterior de Rusia, el SVR, se mantuvo encubierto, pero la división de inteligencia militar rusa, Fancy Bear, tuvo un plan diferente.
De acuerdo a numerosos reportes, esta unidad filtró información sensible que obtuvo causando trastornos y, posiblemente, tuvo algo de influencia el curso de las elecciones.
El problema era que nadie estaba preparado para este tipo de “operación de información“.
Este año, en las elecciones presidenciales estadounidenses, tanto empresas como funcionarios estuvieron en guardia ante una posible interferencia electoral de Rusia.
Aunque tal vez no se dieron cuenta que el espionaje “a la antigua” pasó más desapercibido por ello.
5. Sunburst
El ataque Sunburst comprometió al software de SolarWinds llamado Orion, que permite que personal de tecnologías de la información acceda de forma remota a las computadoras conectadas a una red corporativa.
El impacto exacto del ataque aún no está claro y, según Joe Tidy, reportero de ciberseguridad de la BBC, podría tomar años entenderlo.
“Esta es una de las penetraciones potencialmente más grandes en los gobiernos occidentales que yo conozca en la etapa post Guerra Fría”, le dijo el profesor Alan Woodward, investigador de seguridad cibernética de la Universidad de Surrey, Reino Unido, a Tidy.
Los funcionarios federales hablan de un “riesgo grave” debido a la magnitud de la posible filtración a diferentes agencias gubernamentales estadounidenses, empresas y otras organizaciones.
Reuters informó que el hecho de que los atacantes lograran monitorear los correos electrónicos internos del Departamento del Tesoro de EE.UU. puede ser solo la “punta del iceberg”.
El Departamento de Energía de EE.UU. confirmó el viernes que también había sido atacado. La agencia es responsable de administrar las armas nucleares de EE.UU., pero dijo que la seguridad del arsenal no se había visto comprometida.
Ante la alerta, el Departamento de Seguridad Nacional de EE.UU. ordenó a todas las agencias federales que desconectaran y apagaran cualquier dispositivo conectado a los productos SolarWinds hasta nuevo aviso.
John Ullyot, funcionario del Consejo de Seguridad Nacional de EE.UU., dijo que el gobierno estaba “tomando todas las medidas necesarias para identificar y solucionar cualquier posible problema relacionado con esta situación”.
El presidente de Microsoft, Brad Smith, argumenta que lo sucedido no se trata de “espionaje como el de costumbre”.
Por ejemplo, FireEye dice que recién identificó el problema después de que sus propias herramientas de piratería fueran robadas la semana pasada.
Otros expertos no están de acuerdo y lo califican como espionaje de rutina.
Agregan que Estados Unidos no es solo víctima, sino también llegó a ser autor de este tipo de ataques.
Las revelaciones de Edward Snowden de 2013 mostraron que EE.UU. (y Reino Unido) eran más que capaces de atacar los secretos de otros países comprometiendo a empresas de renombre de una manera que no es tan diferente a esta última acción denunciada.
Sin embargo, la pregunta preocupante que puede plantear este hackeo es que, después de más de 30 años de experiencia e inversión masiva, ¿por qué tomó tanto tiempo detectar y detener la filtración?
¿La respuesta? En el ciberespacio, el atacante normalmente tiene la ventaja de encontrar nuevas formas de entrar en un sistema antes de que el defensor pueda cerrar esa grieta.
Mientras haya secretos en línea, los espías más capaces, especialmente los de Rusia, estarán dispuestos a robarlos.