Estados Unidos y el Reino Unido atribuyeron formalmente el jueves el ataque a la cadena de suministro de la empresa de gestión de infraestructura de TI SolarWinds con «alta confianza» a los agentes gubernamentales que trabajan para el Servicio de Inteligencia Exterior (SVR) de Rusia.
«El patrón de comportamiento maligno de Rusia en todo el mundo, ya sea en el ciberespacio, en la interferencia electoral o en las operaciones agresivas de sus servicios de inteligencia, demuestra que Rusia sigue siendo la amenaza más aguda para la seguridad nacional y colectiva del Reino Unido», dijo el gobierno del Reino Unido en un comunicado. declaración.
En ese sentido, el Departamento del Tesoro de los EE. UU. impuso amplias sanciones contra Rusia por «socavar la realización de elecciones libres y justas e instituciones democráticas» en los EE. UU. y por su papel en facilitar el pirateo de SolarWinds en expansión, al tiempo que prohibió a seis empresas de tecnología. en el país que brinda apoyo al programa cibernético dirigido por los servicios de inteligencia rusos.
Las empresas incluyen ERA Technopolis, Pasit, Instituto de Investigación Científica del Establecimiento Científico Autónomo del Estado Federal, Dispositivos de Computación de Seguridad Especializados y Automatización (SVA), Neobit, Tecnología de Sistema Avanzado y Pozitiv Teknolodzhiz (Tecnologías Positivas), las tres últimas de las cuales son empresas de seguridad de TI cuyas se dice que los clientes incluyen el Ministerio de Defensa de Rusia, SVR y el Servicio de Seguridad Federal de Rusia (FSB).
“Como empresa, negamos las acusaciones infundadas hechas por el Departamento del Tesoro de los Estados Unidos”, dijo Positive Technologies en un comunicado. «En los casi 20 años que hemos estado operando, no ha habido evidencia de que los resultados de la investigación de Positive Technologies se utilicen en violación de los principios de transparencia comercial y el intercambio ético de información con la comunidad profesional de seguridad de la información».
Además, la administración Biden también está expulsando a diez miembros de la misión diplomática de Rusia en Washington, DC, incluidos representantes de sus servicios de inteligencia.
“El alcance y la escala de este compromiso combinado con la historia de Rusia de llevar a cabo operaciones cibernéticas imprudentes y perturbadoras lo convierte en una preocupación de seguridad nacional”, dijo el Departamento del Tesoro. «El SVR ha puesto en riesgo la cadena de suministro de tecnología global al permitir que se instale malware en las máquinas de decenas de miles de clientes de SolarWinds».
Por su parte, Moscú había negado previamente su participación en la campaña de amplio alcance de SolarWinds, afirmando que «no realiza operaciones ofensivas en el dominio cibernético».
Las intrusiones salieron a la luz en diciembre de 2020 cuando FireEye y otras empresas de seguridad cibernética revelaron que los operadores detrás de la campaña de espionaje lograron comprometer la construcción de software y la infraestructura de firma de código de la plataforma SolarWinds Orion en octubre de 2019 para entregar la puerta trasera Sunburst con el objetivo de recopilación de información sensible.
Se cree que hasta 18 000 clientes de SolarWinds recibieron la actualización troyanizada de Orion, aunque los atacantes seleccionaron cuidadosamente sus objetivos y optaron por intensificar los ataques solo en un puñado de casos mediante la implementación del malware Teardrop basado en un reconocimiento inicial del entorno objetivo para detectar amenazas de alto nivel. Valorar cuentas y activos.
Se dice que el compromiso del adversario de la cadena de suministro de software de SolarWinds le dio la capacidad de espiar de forma remota o potencialmente interrumpir más de 16,000 sistemas informáticos en todo el mundo, según la orden ejecutiva emitida por el gobierno de EE. UU.
Además de infiltrarse en las redes de Microsoft, FireEye, Malwarebytes y Mimecast, también se dice que los atacantes utilizaron SolarWinds como un trampolín para violar varias agencias estadounidenses, como la Administración Nacional de Aeronáutica y del Espacio (NASA), la Administración Federal de Aviación (FAA ), y los Departamentos de Estado, Justicia, Comercio, Seguridad Nacional, Energía, Hacienda y los Institutos Nacionales de Salud.
El actor de SVR también es conocido por otros nombres como APT29, Cozy Bear y The Dukes, y el grupo de amenazas se rastrea bajo diferentes apodos, incluidos UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike), Dark Halo (Volexity) y Nobelium (Microsoft).
Además, la Agencia de Seguridad Nacional (NSA), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) han publicado conjuntamente un aviso, advirtiendo a las empresas de la explotación activa de cinco vulnerabilidades conocidas públicamente por APT29 para obtener información inicial. puntos de apoyo en los dispositivos y redes de las víctimas –
En una declaración compartida con The Hacker News, Pulse Secure dijo que el problema identificado por la NSA se refiere a una falla que se corrigió en implementaciones heredadas en abril de 2019, y que «los clientes que siguieron las instrucciones en un aviso de seguridad de Pulse Secure emitido en ese momento tienen protegió adecuadamente sus sistemas y mitigó la amenaza”.
“Vemos lo que Rusia está haciendo para socavar nuestras democracias”, dijo el secretario de Relaciones Exteriores del Reino Unido, Dominic Raab. «El Reino Unido y EE. UU. denuncian el comportamiento malicioso de Rusia para permitir que nuestros socios internacionales y empresas en casa se defiendan mejor y se preparen contra este tipo de acción».
