Uncategorized

El hack de SolarWinds fue el trabajo de «al menos 1,000 ingenieros», dijeron funcionarios técnicos al Senado | La tecnologia

Suscríbase al boletín de Guardian Today de EE. UU.

Los ejecutivos de tecnología han revelado que una histórica brecha de seguridad cibernética que afectó a aproximadamente 100 empresas estadounidenses y nueve agencias federales fue más grande y más sofisticada de lo que se sabía anteriormente.

Las revelaciones se produjeron durante una audiencia del Comité Selecto de Inteligencia del Senado de los Estados Unidos el martes sobre el pirateo de SolarWinds, una empresa de software con sede en Texas. Usando SolarWinds y Microsoft programas, los piratas informáticos que trabajaban para Rusia pudieron infiltrarse en empresas y agencias gubernamentales. En el ciberataque también se utilizaron servidores gestionados por Amazon, pero la empresa se negó a enviar representantes a la audiencia.

Representantes de las empresas afectadas, incluidas SolarWinds, Microsoft y las firmas de ciberseguridad FireEye Inc y CrowdStrike Holdings, dijeron a los senadores que el verdadero alcance de las intrusiones aún se desconoce, ya que la mayoría de las víctimas no están obligadas legalmente a revelar los ataques a menos que involucren información sensible sobre personas. Pero describieron una operación de un tamaño asombroso.

Brad Smith, presidente de Microsoft, dijo que sus investigadores creían que «al menos 1.000 ingenieros altamente calificados y altamente calificados» trabajaron en el hack de SolarWinds. «Este es el tipo de operación más grande y sofisticada que hemos visto», dijo Smith a los Senadores.

Smith dijo que el éxito de la operación de pirateo se debió a su capacidad para penetrar en los sistemas a través de procesos de rutina. SolarWinds funciona como software de monitoreo de red, trabajando profundamente en la infraestructura de los sistemas informáticos para identificar y corregir problemas, y brindar un servicio esencial para empresas de todo el mundo. «El mundo depende de las correcciones y la actualización de software para todo», dijo Smith. “Interrumpir o alterar este tipo de software es de hecho alterar el equivalente digital de nuestro servicio de salud pública. Pone en peligro al mundo entero. «

«Es un poco como un ladrón que quiere irrumpir en un solo apartamento pero logra desactivar el sistema de alarma para cada casa y cada edificio en toda la ciudad», agregó. “La seguridad de todos está en peligro. Esto es con lo que estamos lidiando aquí. «

Smith dijo que muchas técnicas utilizadas por los piratas informáticos no se habían descubierto y que el atacante podría haber utilizado hasta una docena de medios diferentes para obtener acceso a las redes de las víctimas durante el año pasado.

Microsoft reveló la semana pasada que los piratas informáticos pudieron leer el código fuente de la compañía para averiguar cómo sus programas autentican a los usuarios. En muchas víctimas, los piratas informáticos han manipulado estos programas para obtener acceso a nuevas áreas dentro de sus objetivos.

Smith señaló que tal movimiento no se debió a errores de programación por parte de Microsoft, sino a errores de configuración y otros controles por parte del cliente, incluidos los casos «en los que las llaves de la bóveda y del automóvil se dejaron al descubierto».

George Kurtz, director ejecutivo de CrowdStrike, explicó que en el caso de su empresa, los piratas informáticos estaban utilizando un proveedor de software de terceros, Microsoft, que tenía acceso a los sistemas CrowdStrike, y había intentado acceder a los correos electrónicos de la empresa, pero sin éxito. Kurtz culpó a Microsoft por su complicada arquitectura, que calificó de «desactualizada».

«El actor de amenazas se aprovechó de las debilidades sistémicas de la arquitectura de autenticación de Windows, lo que le permitió moverse lateralmente a través de la red» y llegar al entorno de nube sin pasar por la autenticación de múltiples factores, dijo Kurtz.

Donde Smith ha pedido ayuda al gobierno para brindar orientación correctiva a los usuarios de la nube, Kurtz dijo que Microsoft debería buscar en su propia casa y solucionar problemas con su Active Directory y Azure, ampliamente utilizados.

Ben Sasse interroga a los testigos durante una audiencia del Comité de Inteligencia del Senado en Capitol Hill.
Ben Sasse interroga a los testigos durante una audiencia del Comité de Inteligencia del Senado en Capitol Hill. Fotografía: Reuters

“Si Microsoft corrigiera las limitaciones de la arquitectura de autenticación en torno a Active Directory y Azure Active Directory, o si cambiara a una metodología completamente diferente, un vector de amenaza significativo se eliminaría por completo de una de las plataformas de ‘autenticación más utilizada en el mundo’, Kurtz dicho.

Los líderes pidieron una mayor transparencia e intercambio de información sobre las violaciones, con protecciones de responsabilidad y un sistema que no castigue a quienes se presenten, como las investigaciones de desastres aéreos.

«Es imperativo para el país alentar y, a veces, incluso exigir un mejor intercambio de información sobre los ataques cibernéticos», dijo Smith.

Los legisladores discutieron con los ejecutivos cómo la inteligencia de amenazas se puede compartir de manera más fácil y confidencial entre competidores y legisladores para evitar grandes ataques como este en el futuro. También discutieron los tipos de repercusiones que justifican los hacks patrocinados por el estado-nación. Según los informes, la administración de Biden está considerando sanciones contra Rusia por piratería informática, según un informe del Washington Post.

«Podría haber sido exponencialmente peor y tenemos que reconocer la seriedad», dijo el senador Mark Warner de Virginia. “No podemos fallar al fatalismo de la seguridad. Debemos al menos aumentar el costo para nuestros adversarios. «

Los legisladores reprendieron a Amazon por no comparecer en la audiencia y amenazaron con obligar a la empresa a testificar en paneles posteriores.

«Yo pienso [Amazon has] una obligación de cooperar con esta investigación, y espero que lo hagan de manera voluntaria ”, dijo la senadora Susan Collins, republicana. «Si no, creo que deberíamos considerar los próximos pasos».

Reuters contribuyó a este informe.

Deja un comentario

A %d blogueros les gusta esto: