WASHINGTON (AP) – Los piratas informáticos de élite del estado ruso detrás de la masiva campaña de ciberespionaje SolarWinds del año pasado apenas disminuyeron este año, ya que gestionaron muchas infiltraciones de agencias gubernamentales estadounidenses y aliadas y grupos de expertos en política exterior con destreza y sigilo consumados, informó el lunes una importante firma de ciberseguridad. .
En el aniversario de la divulgación pública de las intrusiones de SolarWinds, Mandiant dijo que los piratas informáticos asociados con la agencia de inteligencia extranjera SVR de Rusia continuaron robando datos «relevantes para los intereses rusos» con gran efecto utilizando técnicas novedosas y sigilosas que detalla en un informe principalmente técnico dirigido en ayudar a los profesionales de la seguridad a mantenerse alerta.
Fue Mandiant, no el gobierno de EE. UU., Quien reveló SolarWinds.
Si bien el número de agencias gubernamentales y empresas pirateadas por SVR fue menor este año que el pasado, cuando se violaron unas 100 organizaciones, evaluar el daño es difícil, dijo Charles Carmakal, director técnico de Mandiant. En general, el impacto es bastante grave. «Las empresas que están siendo pirateadas, también están perdiendo información».
“No todo el mundo está revelando el (los) incidente (s) porque no siempre tienen que hacerlo legalmente”, dijo, complicando la evaluación de daños.
El ciberespionaje ruso se desarrolló, como siempre, principalmente en las sombras, ya que el gobierno de EE. UU. Fue consumido en 2021 por una amenaza cibernética separada, eminentemente «ruidosa» y que acapara los titulares: los ataques de ransomware lanzados no por piratas informáticos de los estados nacionales, sino por bandas criminales. Da la casualidad de que esas bandas están en gran parte protegidas por el Kremlin.
Los hallazgos de Mandiant siguen a un informe de octubre de Microsoft de que los piratas informáticos, cuyo grupo paraguas llama Nobelium, continúan infiltrándose en las agencias gubernamentales, los think tanks de política exterior y otras organizaciones centradas en los asuntos rusos a través de las empresas de servicios en la nube y los llamados proveedores de servicios administrados. de los que dependen cada vez más. Mandiant se inclina ante los investigadores de amenazas de Microsoft en el informe.
Los investigadores de Mandiant dijeron que los piratas informáticos rusos «continúan innovando e identificando nuevas técnicas y oficios» que les permiten permanecer en las redes de víctimas, obstaculizar la detección y confundir los intentos de atribuirles piratas informáticos. En resumen, los piratas informáticos respaldados por el estado más elitistas de Rusia son tan astutos y adaptables como siempre.
Mandiant no identificó víctimas individuales ni describió qué información específica pudo haber sido robada, pero dijo que entre los objetivos se encontraban «entidades diplomáticas» no especificadas que recibieron correos electrónicos de phishing maliciosos.
A menudo, dicen los investigadores, el camino de menor resistencia de los piratas informáticos a sus objetivos eran los servicios de computación en la nube. A partir de ahí, utilizaron credenciales robadas para infiltrarse en las redes. El informe describe cómo en un caso obtuvieron acceso al sistema Microsoft 365 de una víctima a través de una sesión robada. Y, dice el informe, los piratas informáticos confiaban habitualmente en técnicas avanzadas para cubrir sus huellas.
Una técnica inteligente discutida en el informe ilustra el juego del gato y el ratón en curso que implica el espionaje digital. Los piratas informáticos configuran cabezas de playa de intrusión utilizando direcciones IP, una designación numérica que identifica su ubicación en Internet, que estaban ubicadas físicamente cerca de una cuenta que están tratando de violar, en el mismo bloque de direcciones, por ejemplo, como el proveedor de Internet local de la persona. Eso hace que sea muy difícil para el software de seguridad detectar a un pirata informático que utiliza credenciales robadas que se hacen pasar por alguien que intenta acceder a su cuenta de trabajo de forma remota.
El hack de SolarWinds aprovechó las vulnerabilidades en el sistema de la cadena de suministro de software y pasó desapercibido durante la mayor parte de 2020 a pesar de los compromisos en una amplia franja de agencias federales, incluido el Departamento de Justicia, y docenas de empresas, principalmente proveedores de telecomunicaciones y tecnología de la información, incluidas Mandiant y Microsoft. .
La campaña de piratería se llama SolarWinds en honor a la compañía de software estadounidense cuyo producto fue explotado en la primera etapa de infección de ese esfuerzo. La administración Biden impuso sanciones en abril pasado en respuesta al ataque, incluso contra seis empresas rusas que apoyan los esfuerzos cibernéticos del país.