Microsoft Corp dijo el jueves que encontró software malicioso en sus sistemas relacionado con una campaña de piratería masiva divulgada por funcionarios estadounidenses esta semana, agregando un objetivo de tecnología superior a una lista creciente de agencias gubernamentales atacadas.
La empresa de Redmond, Washington, es usuaria de Orion, el software de gestión de redes de SolarWinds Corp ampliamente implementado que se utilizó en los presuntos ataques rusos contra agencias vitales de Estados Unidos y otras.
Microsoft también aprovechó sus propios productos para atacar a las víctimas, dijeron personas familiarizadas con el asunto. La Agencia de Seguridad Nacional de EE. UU. Emitió un raro “aviso de ciberseguridad” el jueves en el que se detalla cómo ciertos servicios en la nube de Microsoft Azure pueden haber sido comprometidos por piratas informáticos y se indica a los usuarios que bloqueen sus sistemas.
“Al igual que otros clientes de SolarWinds, hemos estado buscando activamente indicadores de este actor y podemos confirmar que detectamos binarios maliciosos de Solar Winds en nuestro entorno, que aislamos y eliminamos”, dijo un portavoz de Microsoft, agregando que la compañía había encontrado “no indicios de que nuestros sistemas se utilizaron para atacar a otros”.
Una de las personas familiarizadas con la ola de piratería dijo que los piratas informáticos hicieron uso de las ofertas en la nube de Microsoft y evitaron la infraestructura corporativa de Microsoft.
Microsoft no respondió de inmediato a las preguntas sobre la técnica.
Aún así, otra persona familiarizada con el asunto dijo que el Departamento de Seguridad Nacional (DHS) no cree que Microsoft sea una vía clave para una nueva infección.
Tanto Microsoft como el DHS, que el jueves temprano dijeron que los piratas informáticos utilizaron múltiples métodos de entrada, continúan investigando.
El FBI y otras agencias han programado una sesión informativa clasificada para miembros del Congreso el viernes.
El Departamento de Energía de Estados Unidos también dijo que tiene evidencia de que los piratas informáticos obtuvieron acceso a sus redes como parte de la campaña. Politico había informado anteriormente que la Administración Nacional de Seguridad Nuclear (NNSA), que administra el arsenal de armas nucleares del país, fue atacada.
Una portavoz del Departamento de Energía dijo que el malware “se ha aislado solo en las redes comerciales” y no ha afectado la seguridad nacional de Estados Unidos, incluida la NNSA.
El DHS dijo en un boletín el jueves que los piratas informáticos habían utilizado otras técnicas además de corromper las actualizaciones del software de gestión de red de SolarWinds, que utilizan cientos de miles de empresas y agencias gubernamentales.
CISA instó a los investigadores a no asumir que sus organizaciones estaban seguras si no usaban versiones recientes del software SolarWinds, al tiempo que señaló que los piratas no explotaron todas las redes a las que obtuvieron acceso.
CISA dijo que continúa analizando las otras vías utilizadas por los atacantes. Hasta ahora, se sabe que los piratas informáticos han supervisado al menos el correo electrónico u otros datos dentro de los departamentos de Defensa, Estado, Tesoro, Seguridad Nacional y Comercio de EE. UU.
Hasta 18.000 clientes de Orion descargaron las actualizaciones que contenían una puerta trasera, dijo SolarWinds. Desde que se descubrió la campaña, las empresas de software han cortado la comunicación desde esas puertas traseras hasta las computadoras mantenidas por los piratas informáticos.
Pero los atacantes podrían haber instalado formas adicionales de mantener el acceso, dijo CISA, en lo que algunos han llamado el mayor hackeo en una década.
El Departamento de Justicia, el FBI y el Departamento de Defensa, entre otros, han trasladado la comunicación de rutina a redes clasificadas que se cree no han sido violadas, según dos personas informadas sobre las medidas. Están asumiendo que se ha accedido a las redes no clasificadas, dijeron las personas.
CISA y empresas privadas, incluida FireEye Inc, que fue la primera en descubrir y revelar que había sido pirateada, han publicado una serie de pistas para que las organizaciones las busquen para ver si han sido atacadas.
Pero los atacantes son muy cuidadosos y han eliminado registros, huellas electrónicas o los archivos a los que han accedido, dijeron expertos en seguridad. Eso hace que sea difícil saber qué se ha llevado.
Algunas empresas importantes han dicho que “no tienen evidencia” de que hayan sido penetradas, pero en algunos casos eso puede deberse a que se eliminaron las pruebas.
En la mayoría de las redes, los atacantes también habrían podido crear datos falsos, pero hasta ahora parece que solo estaban interesados en obtener datos reales, dijeron personas que rastreaban las sondas.
Mientras tanto, los miembros del Congreso exigen más información sobre lo que se pudo haber tomado y cómo, junto con quién estuvo detrás. El Comité de Seguridad Nacional y el Comité de Supervisión de la Cámara de Representantes anunciaron una investigación el jueves, mientras que los senadores presionaron para saber si se obtuvo información fiscal individual.
En un comunicado, el presidente electo Joe Biden dijo que “elevaría la ciberseguridad como un imperativo en todo el gobierno” y “interrumpiría y disuadiría a nuestros adversarios” de emprender hackeos tan importantes.
Reuters
