Hackers de SolarWinds vulneraron la agencia de armas nucleares de Estados Unidos
El Departamento de Energía de Estados Unidos ha confirmado que el grupo de hacking detrás del compromiso SolarWinds está detrás de otros incidentes. El grupo también hackeó las redes de la agencia de armas nucleares de Estados Unidos.
El Departamento de Energía (DOE) está respondiendo a un incidente cibernético relacionado con el compromiso de SolarWinds en coordinación con nuestros socios federales y de la industria. La investigación está en curso y la respuesta a este incidente está ocurriendo en tiempo real. En este punto, la investigación ha descubierto que el malware se ha aislado solo en las redes comerciales. Este no ha afectado las funciones de seguridad nacional esenciales para la misión del Departamento, incluida la Administración Nacional de Seguridad Nuclear (NNSA). Cuando el DOE identificó un software vulnerable, se tomaron medidas inmediatas para mitigar el riesgo. Todo el software identificado como vulnerable a este ataque se desconectó de la red del DOE.
Shaylyn Hynes, portavoz del DOE
Como parte de su respuesta continua, el DOE ha estado en comunicación constante con los socios de la industria. Esto incluye la jefatura de los Consejos Coordinadores de los Subsectores del sector energético, y también está en contacto regular con Electricidad, Petróleo y Gas Natural (ONG). También con los Centros de análisis e intercambio de información (ISAC) y Downstream Gas Natural (DNG).
Hackers extranjeros
Hackers de un estado-nación han vulnerado las redes de la Administración Nacional de Seguridad Nuclear (NNSA) y el Departamento de Energía de Estados Unidos (DOE).
La NNSA es una agencia gubernamental semiautónoma responsable de mantener y asegurar el arsenal de armas nucleares de Estados Unidos.
La NNSA fue establecida por el Congreso de los Estados Unidos en el año 2000 y también tiene la tarea de responder a emergencias nucleares y radiológicas. Tiene jurisdicción dentro de los Estados Unidos y en el extranjero.
Los funcionarios familiarizados con el asunto dijeron que los investigadores federales han encontrado evidencia de que los hackers obtuvieron acceso a diferentes redes sensibles. Estos accedieron a las redes del DOE y a la NNSA como parte de la campaña de compromiso en curso del gobierno de Estados Unidos.
La Comisión Federal de Regulación de Energía (FERC), la Oficina de Transporte Seguro y la Richland Field Office DOE fueron afectados. También se vieron afectados los laboratorios nacionales de Sandia y Los Alamos, según el informe.
Los hackers han centrado principalmente sus esfuerzos en FERC según los funcionarios del DOE, pero no proporcionaron más detalles sobre el incidente.
Compromiso de redes del gobierno de Estados Unidos confirmado oficialmente
Esta serie de ataques ha llevado al hacking de múltiples redes del gobierno de Estados Unidos tal como lo confirmaron oficialmente diferentes entidades. El FBI, CISA y la ODNI admitieron los incidentes por primera vez en una declaración conjunta emitida hoy.
La lista de objetivos del gobierno de Estados Unidos comprometidos hasta ahora en esta campaña también incluye el Departamento del Tesoro de los Estados Unidos. Asimismo, El Departamento de Estado, NTIA, NIH, DHS-CISA y el Departamento de Seguridad Nacional de Estados Unidos.
El grupo detrás de esta campaña de compromiso, presuntamente el APT29 (también conocido como Cozy Bear) es patrocinado por el estado ruso. Este estuvo presente en las redes de organizaciones hackeadas durante largos períodos de tiempo, según una alerta de CISA de hoy.
“CISA ha determinado que esta amenaza representa un grave riesgo para el gobierno federal y los gobiernos estatales, locales, tribales y territoriales. También es una amenaza para las entidades de infraestructura crítica y otras organizaciones del sector privado”, dijo la agencia.
“CISA espera que eliminar a este actor de amenazas de entornos comprometidos será muy complejo y desafiante para las organizaciones”.
Más agencias gubernamentales en riesgo
La puerta trasera utilizada en estos ataques, rastreada como Solarigate o Sunburst, se distribuyó a través del mecanismo de actualización automática de SolarWinds. La puerta trasera se distribuyó en los sistemas de aproximadamente 18,000 clientes.
La lista de clientes de SolarWinds incluye más de 425 empresas estadounidenses Fortune 500 y las diez principales empresas de telecomunicaciones de Estados Unidos. También incluye varias agencias gubernamentales estadounidenses como las Fuerzas Armadas, El Pentágono, El Departamento de Justicia, El Departamento de Estado y NASA. Por si fuera poco, también se vieron afectada la NSA, el Servicio Postal, NOAA y la Oficina del Presidente de los Estados Unidos.
Sin embargo, la CISA también dijo que tiene “evidencia de vectores de acceso inicial adicionales, además de la plataforma SolarWinds Orion. No obstante, estos aún están siendo investigados”.
La CISA también ha emitido una directiva de emergencia luego de una serie de hackeos confirmados del gobierno de Estados Unidos. En la directiva solicitan a las agencias civiles federales que desconecten o apaguen inmediatamente los productos SolarWinds Orion afectados en sus redes.
Además, desde que se descubrió la campaña, Microsoft, FireEye y GoDaddy crearon un interruptor de apagado para la puerta trasera SolarWinds Sunburst. El interruptor de apagado terminará la infección en las redes de las víctimas.