Sunburst: ¿un cibernético de Pearl Harbor?

(Para Ciro Metuarata)
21/12/20

En unos años, cuando la terrible pandemia actual esté finalmente bajo control, 2020 no solo será recordado por la explosión de la infección COVID-19 y sus nefastas consecuencias, sino que probablemente también representará un hito para los académicos y para los profesionales (así como para los curiosos como yo) de la ciberdimensión, siguiendo una historia que va tomando los contornos de uno de los más inescrupulosos historia de espías de todos los tiempos el éxito. La referencia es al ciberataque sufrido por la empresa informática estadounidense Vientos solares, cuyos productos, distribuidos globalmente, han sido utilizados como "caballos de Troya" para penetrar en las redes y sistemas de empresas y organismos gubernamentales de todo el mundo, verdaderos objetivos del espionaje.

En la jerga, este tipo de ataque se denomina "ataque cibernético de la cadena de suministro" y, en realidad, detrás de estos términos altisonantes y aparentemente complejos, hay declinaciones modernas de las técnicas de espionaje que existen desde hace mucho tiempo: la seguridad del objetivo se ve comprometida indirectamente. , atacando la "cadena logística" relativa, que es un bien o un servicio legítimamente proporcionado por un tercero (normalmente una empresa). En el ámbito cibernético, se trata de bienes o servicios de TI de los que ninguna empresa u organismo gubernamental puede prescindir para llevar a cabo sus tareas.

Un ejemplo llamativo de este tipo de ciberataques es la operación que la Agencia de Seguridad Nacional, según el ex colaborador Edward Snowden, habría puesto en marcha durante años al asegurar que los dispositivos de red producidos por una empresa líder fueran distribuidos en el mercado. en todo el mundo, especialmente modificada por la Agencia, para poder interceptar y retransmitir todas las comunicaciones procesadas por estos sistemas. O la increíble historia de Crypto-AG (v.articolo), una empresa con sede en Suiza que ha producido y distribuido máquinas de cifrado a países pertenecientes a la OTAN y fuera de la Alianza (¡para un total de 130 gobiernos!), también modificada para permitir la inteligencia y ¡Alemán interceptará comunicaciones clasificadas de países "amigos" y adversarios durante más de 50 años!

Finalmente, otro ejemplo de ciberataque de la cadena de suministro è costituito da NotPetya, un malware devastador, "inoculado" en 2017 en la actualización de un software de gestión empresarial muy popular en Ucrania (v.articolo). En este sentido, si bien es cierto que probablemente nunca será posible cuantificar el impacto real de estas operaciones, lo cierto es que, dado el elevado número de objetivos involucrados y la duración de la actividad ofensiva realizada, en todos los casos se trata de una inmensa cantidad de información interceptada o destruida, con gravísimos daños a la seguridad de las víctimas. El mismo escenario también está surgiendo para el ataque a Vientos solares mientras filtran los detalles (obviamente los que quieren saber) de las investigaciones en curso.

¿Podría ser el ciberespacio del ataque a la base naval de Pearl Harbor en 1941, es decir, un acto hostil tan vasto y con consecuencias tan graves, que implica una respuesta sin precedentes, quizás no se desarrolle solo en la dimensión cibernética? ¿Que pasará ahora?

Procedamos en orden. Hace unos días la empresa FireEye, empresa líder en el campo de la ciberseguridad, ha anunciado que ha sido víctima de un ciberataque grave que, entre otras cosas, habría permitido la exfiltración de algún software desarrollado para realizar pruebas de seguridad por parte de sus clientes (v.articolo). En particular, se supo que este ataque se llevó a cabo utilizando una actualización del sistema Orion. Vientos solares ingeniosamente comprometido, es decir, aparentemente "genuino" pero, en realidad, modificado para permitirle penetrar en los sistemas y redes de FireEye. Este detalle del ataque, una vez conocido, ha ensanchado consecuentemente el horizonte de las investigaciones también a todas las demás empresas y organismos estatales que utilizan los mismos servicios de Vientos solares, objetivos que pueden haber sido alcanzados desde el pasado mes de marzo, período a partir del cual se remonta la distribución de la actualización fraudulenta en cuestión.

La lista de víctimas se enriquece por horas a partir de los análisis en curso sobre las pruebas recogidas y ahora incluye miles de sujetos públicos y privados distribuidos a nivel mundial (estamos hablando de más de 17.000 víctimas), en la mayoría de los casos concentrados sin embargo en EE. UU. . Por lo tanto, intentar proporcionar una lista actualizada deja el tiempo que encuentra. Sin embargo, sin temor a que se demuestre lo contrario, es posible afirmar que en muchos casos se trata de organismos gubernamentales que pertenecen incluso a sectores cruciales (como, por ejemplo, el Departamento de Energía de Estados Unidos) y empresas líderes a escala global que, a su vez, proporcionan productos y servicios. En particular, una vez que sus sistemas Orion fueron actualizados con el software modificado, el atacante pudo introducirse en las redes de los objetivos y en muchos casos tomó el control de ellos, lanzando nuevos ataques explotando la "brecha" abierta en los sistemas defensivos de otros.

En la actualidad, no se conocen ni los datos robados de esta manera ni las consecuencias posteriores de los ataques, ya que se han utilizado técnicas particularmente sofisticadas para desviar las investigaciones (en jerga, para "ofuscar" las pistas). Este detalle, junto con las técnicas de programación utilizadas para hacer que la actualización comprometida de SolarWinds, mientras tanto denominada SUNBURST, parezca original, se cree que son indicadores de las capacidades de más alto nivel que posee el atacante. Sí, ¿quién está detrás de esta atrevida operación?

Como es habitual, las investigaciones no permiten atribuir con certeza la autoría de la acción de espionaje, sin embargo es ciertamente una organización en posesión de enormes recursos (personal técnico experto, financiación, personal de planificación, infraestructuras, etc.) pertenecer a un gobierno o necesariamente patrocinado por una nación. O podría ser un grupo delictivo que ofrece servicios al mejor postor, que se ha convertido en el líder del mercado negro de la información en Red oscura, el "lado oscuro" de Internet. ¿Quién puede decirlo? Ninguno con absoluta certeza.

Algunos analistas y exponentes de la actual administración estadounidense creen que el grupo de hackers conocido por los nombres en clave APT29, Cozy Bear, CozyCar, CozyDuke u Office Monkeys, que supuestamente está vinculado a Služba Vnešnej Razvedki (SVR), el servicio de inteligencia exterior ruso (que celebró sus primeros 19 años de historia el 100 de diciembre) y que cuenta con un currículo particularmente sustancial de sofisticadas operaciones cibernéticas. Sin embargo, el gobierno de la Federación de Rusia negó de inmediato cualquier participación.

Las investigaciones acaban de comenzar y, como casi siempre ocurre en estos casos, es poco probable que se recaben pruebas suficientes para identificar con razonable certeza a los culpables y sancionarlos penalmente. También será muy difícil cuantificar el daño sufrido por las víctimas y saber qué pasó con la información robada, o mejor dicho "copiada", sin que nadie se dé cuenta. En definitiva, no es posible reconstruir por completo todas las operaciones que el atacante realizó durante los aproximadamente ocho meses de "permanencia" en los sistemas y redes de las víctimas.

Este escenario ha llevado a algunos observadores a sacar una conclusión inquietante: tendremos que lidiar con las consecuencias de este ataque durante muchos meses o años, ya que el atacante puede haber diseminado las redes y los sistemas de destino de otro malware.. De hecho, si bien es cierto que se trata de un grupo especialmente experimentado y eficiente, los analistas señalan que la eventualidad de que se descubriera la transacción fue ciertamente planificada con anticipación y, por lo tanto, creen que todas las medidas encaminadas a Continuar la campaña de espionaje, anticipándose a las contramedidas de las víctimas.

El último aspecto de la historia, quizás solo aparentemente secundario, es el financiero: Vientos solares es una empresa que cotiza en bolsa y un ataque de este tipo podría ser fatal para su reputación y, por lo tanto, para su futuro. Además, parece que hay quienes han logrado lucrar con todo el tema, haciendo que los movimientos del mercado sean más que sospechosos.

En conclusión, puntualmente, todos los años de este período nos encontramos en estas páginas para realizar informes finales sobre seguridad cibernética, de donde surgen escenarios con colores cada vez más oscuros. Cada año el "listón" se mueve cada vez más alto, acercándose peligrosamente al umbral del choque real entre estados y los límites tecnológicos son derribados inevitablemente, superando a menudo la imaginación misma. En este contexto, si por un lado la sociedad se vuelve cada vez más dependiente de la dimensión cibernética, por otro lado ésta se ha convertido en un coto de caza totalmente desprovisto de reglas tanto para los gobiernos como para los grupos criminales sin escrúpulos.

La presa de esta incesante caza es la información que, en un mundo cada vez más interconectado, constituye la clave para dominarlo desde el punto de vista militar, financiero, económico, científico, tecnológico o político. Quien aún no ha comprendido o no quiere aceptar esta realidad, está destinado a sucumbir.

¡Feliz 2021!

Fuentes

https://www.corrierecomunicazioni.it/cyber-security/crypto-ag-cyber-scan...

https://www.ncsc.gov.uk/collection/supply-chain-security/supply-chain-at...

https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backd...

https://www.govinfosecurity.com/solarwinds-supply-chain-hit-victims-incl...

https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-cus...

https://www.wired.com/story/cozy-bear-dukes-russian-hackers-new-tricks/

https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybers...

https://www.ilpost.it/2020/12/18/attacco-hacker-stati-uniti/amp/

Foto: NASA