Ciberdelincuentes hackearon agencias federales de Estados Unidos a través de una VPN
Por al menos por tercera vez desde principios de este año, el gobierno de Estados Unidos está investigando un hackeo contra agencias federales. El incidente comenzó durante la administración Trump. No obstante, fue descubierto recientemente, según altos funcionarios estadounidenses y defensores cibernéticos del sector privado.
Este es el último ataque cibernético a la cadena de suministro que destaca cómo los grupos sofisticados, a menudo respaldados por gobiernos atacan. Estos grupos están apuntando al software vulnerable creado por terceros como un trampolín hacia las sensibles redes informáticas gubernamentales y corporativas.
Las nuevas infracciones gubernamentales involucran una popular red privada virtual (VPN) conocida como Pulse Connect Secure. Los hackers usaron esta VPN para poder ingresar a medida que los clientes la usaban.
Más de una docena de agencias federales ejecutan Pulse Connect Secure en sus redes, según los registros de contratos públicos. Una directiva de ciberseguridad de emergencia la semana pasada exigió que las agencias escanearan sus sistemas en busca de compromisos relacionados y los reportaran.
Los resultados, recopilados el viernes y analizados esta semana, muestran evidencia de posibles infracciones en al menos cinco agencias civiles federales. Esto según lo que dijo Matt Hartman, un alto funcionario de la Agencia de Seguridad de Infraestructura de Ciberseguridad de Estados Unidos.
“Esta es una combinación de espionaje tradicional con algún elemento de robo económico”, dijo un consultor de ciberseguridad familiarizado con el asunto. “Ya hemos confirmado la exfiltración de datos en numerosos entornos”.
Pulse Connect Secure
El fabricante de Pulse Connect Secure, la empresa de software Ivanti, ubicada en Utah, dijo que proporcionaría un parche para solucionar el problema el próximo lunes. Es decir, dos semanas después de haber realizado un primer anuncio. Según la empresa sólo han vulnerado un “número muy limitado de sistemas de clientes”.
Durante los últimos dos meses, la CISA y el FBI han estado trabajando con el fabricante de Pulse Connect Secure y las víctimas del ataque. Han estado trabajando conjuntamente para expulsar a los intrusos y descubrir otras pruebas. El FBI, el Departamento de Justicia y la Agencia de Seguridad Nacional no ha dado ninguna declaración al respecto.
La investigación del gobierno de Estados Unidos sobre la actividad de Pulse Connect Secure aún se encuentra en sus primeras etapas. Esto según un alto funcionario de Estados Unidos que agregó que el alcance, el impacto y la atribución siguen sin estar claros.
Los investigadores de seguridad de la firma estadounidense de ciberseguridad FireEye y otra firma, que se negó a ser identificada, han estado investigando a profundidad. Las firmas dicen que han observado a varios grupos de hacking, incluido un equipo de élite chino, explotando la nueva vulnerabilidad y otras similares desde 2019.
Respuesta de China
En un comunicado la semana pasada, el portavoz de la embajada china, Liu Pengyu, respondió a las acusaciones. Él dijo que China “se opone firmemente y toma medidas enérgicas contra todas las formas de ciberataques“. Y, describió las acusaciones de FireEye como “irresponsables y malintencionadas”.
El uso de VPN’s, que crean túneles cifrados para conectarse de forma remota a las redes corporativas, se ha disparado durante la pandemia de COVID-19. Sin embargo, con el crecimiento en el uso de VPN, también lo ha hecho el riesgo asociado.
“Este es otro ejemplo en un patrón reciente de actores cibernéticos que se enfocan en vulnerabilidades en productos VPN ampliamente utilizados. Esto porque muchas personas permanecen en posiciones de trabajo remotas e híbridas”, dijo Hartman.
Tres consultores de ciberseguridad involucrados en responder a los ataques dijeron que la lista de víctimas está enfocada hacia Estados Unidos. Y, hasta ahora los ataques incluyen varios sectores. Los ataques incluyen contratistas de defensa, agencias gubernamentales civiles, empresas de energía solar, empresas de telecomunicaciones e instituciones financieras.
Los consultores también dijeron que estaban al tanto de menos de 100 víctimas combinadas hasta ahora entre ellos, lo que sugiere un enfoque bastante estrecho por parte de los hackers.
Los analistas creen que la operación maliciosa comenzó alrededor de 2019 y explotó vulnerabilidades más antiguas en Pulse Connect Secure. Además, explotaron vulnerabilidades en otros productos fabricados por la firma de ciberseguridad Fortinet, antes de invocar las nuevas vulnerabilidades.
Hartman dijo que los ataques a la agencia civil datan de al menos junio de 2020.
Hackeando el suministro
Un informe reciente del Atlantic Council, un grupo de expertos de Washington, estudió 102 incidentes de hacking en la cadena de suministro. El grupo descubrió que aumentaron en los últimos tres años. Treinta de los ataques provinieron de grupos respaldados por el gobierno, principalmente en Rusia y China, según el informe.
La respuesta de Pulse Connect Secure se produce cuando el gobierno todavía está lidiando con las consecuencias de otros tres ciberataques.
El primero es el tristemente célebre ataque de SolarWinds. En este ataque presuntos hackers del gobierno ruso se apoderaron del programa de gestión de redes de la empresa para infiltrarse en nueve agencias federales.
Una vulnerabilidad en el software del servidor de correo electrónico de Microsoft, llamado Exchange ha sido explotada por un grupo diferente de hackers chinos. Este ataque también requirió un esfuerzo de respuesta masiva, aunque finalmente no hubo impacto en las redes federales, según funcionarios estadounidenses.
Posteriormente, una vulnerabilidad en un fabricante de herramientas de programación llamado Codecov dejó a miles de clientes expuestos dentro de sus entornos de programación.
Algunas agencias gubernamentales se encontraban entre los clientes cuyas credenciales fueron tomadas por los hackers de Codecov. Las credenciales fueron usadas para un mayor acceso a los repositorios de códigos u otros datos. Codecov, el FBI y el Departamento de Seguridad Nacional no han hecho comentarios sobre ese caso.
Estados Unidos planea abordar algunos de estos problemas sistémicos con una próxima orden ejecutiva. Esta requerirá que las agencias identifiquen su software más crítico y promuevan una “lista de materiales” que exija un cierto nivel de seguridad digital en todos los productos vendidos al gobierno.
Un alto funcionario estadounidense cree que [esta es] la forma más impactante de imponer barreras a los adversarios y hacer mucho más difícil sus ataques.