21/12/2020

Los ciberespías también vienen del frio

A John Le Carré in memoriam

Donald Trump y su administración han apuntado constantemente a China como la mayor amenaza para la seguridad nacional de Estados Unidos, sin hacer caso a quienes advertían que Rusia conserva su capacidad de lanzar ataques cibernéticos letales. El presidente acaba de sufrir la contradicción básica de su doble rasero, al desvelarse que hackers “vinculados al Kremlin” inocularon en marzo un código malicioso en el software Orion, de la empresa de ciberseguridad SolarWinds que luego se ha propagado por las redes del gobierno federal y un número no determinado de empresas privadas.

Como era de esperar, el gobierno de Vladimir Putin ha negado toda relación con el ataque. Tal vez fuera no menos previsible que Donald Trump, enmendando la plana a su propio secretario de Estado, tuiteara el viernes que la atribución a Rusia es un invento de los medios, sugiriendo de paso que el ataque igualmente podría ser de origen chino.

La verdad es que hay algo innovador en este ataque. A diferencia de atacar un objetivo cierto, como la intrusión en  2014 atribuida a hackers chinos, en los sistemas de la OPM (Office of Personal Management) con el fin de coleccionar datos personales de empleados del gobierno federal (entre ellos sus credenciales de acceso), el malware estrella del 2020 se ha colado en la cadena de información de tal manera que permite a sus autores abrir puertas traseras en las redes donde se haya instalado la última actualización de Orion. Que el malware haya permanecido dormido durante meses antes de ser descubierto no es lo menos preocupante del episodio.

Normalmente, se entiende que el espionaje – sea físico o electrónico – tiene como misión la cosecha de información secreta o confidencial, además de sembrar una vulnerabilidad que pueda serle útil en el futuro. Ocurrió en los  ataques contra Equifax, Sony o en el de la OPM. En estos y otros casos “icónicos” (sic), la infección se pudo resolver el minando el malware intruso y reiniciando el sistema tras poner un parche que, supuestamente, impide su reactivación. Esta vez, el subterfugio ha logrado crear de una tacada gran número de vulnerabilidades explotables; como no se sabe hasta dónde pudo llegar, no se ha encontrado una solución satisfactoria al problema.

Provisionalmente, se ha estimado el número de víctimas en 18.000 de los 33.000 clientes de SolarWinds que han instalado la última actualización de Orion, programa de monitorización de redes que informa al usuario de los problemas de seguridad encontrados, para lo que necesariamente debe acceder a todos sus elementos y rastrearlos. Esto ha de servir como vehículo idóneo para introducirse en múltiples objetivos. Intención que, a priori, nada impide, debido a que, como cualquier software de seguridad, tiene como característica perversa la de identificar como enemigo a toda otra solución previamente instalada y procede a desactivarla para hacerse con el control del sistema (supuestamente sólo durante su instalación).

Tom Bossert, quien fuera asesor de ciberseguridad de Trump al inicio de su mandato, ha escrito que “seguramente llevará años averiguar con certeza qué redes han caído bajo control ruso y cuáles siguen escondiendo su código malicioso”.

Tanto el New York Times como el Washington Post han citado fuentes de la administración – avaladas luego por Mike Pompeo, secretario de Estado y ex director de la CIA –  según las cuales el grupo que estaría tras el ataque es conocido dentro de los servicios de seguridad rusos como APT29 como dependencia de la agencia inteligencia exterior SVR. La unidad también es  apodada – también los espías tienen humor – Cozy Bear (oso cariñoso) y ya fue considerada responsable de hackear los servidores del Comité del Partido Demócrata en 2016.

Resulta tentador conjeturar para qué querría China en 2014 obtener datos personales de los funcionarios del gobierno estadounidense, episodio que ha dejado su marca en los dos partidos políticos. Lo que no está tan claro hoy es qué busca la inteligencia exterior rusa – si es que efectivamente los hackers trabajan para el SVR – al introducirse en los sistemas de algunas infraestructuras críticas, desde el departamento del Tesoro al de Energía, pasando por la administración del arsenal nuclear.

De ninguna manera será sencillo extirpar el tumor ni controlar las metástasis. Oficialmente, se ha declarado que “no hemos encontrado evidencias concretas de que ningún sistema clasificado haya sido comprometido por los atacantes”. Pero los departamentos afectados siguen tratando de evaluar los daños y determinar qué piezas de malware pueden haber quedado ocultas en sus sistemas. El daño siempre puede ser mayor de lo comunicado al público.

A Donald Trump le ha tocado la desgracia que vivió Barack Obama el último año de su segundo mandato, cuando reaccionó tarde ante las evidencias de interferencia rusa en las elecciones – que ganaría Trump – y sólo a última hora aplicó sanciones entre ellas la expulsión de 35 diplomáticos. Aquello precipitó uno de los episodios que mancharían de partida la presidencia de Trump: los indiscretos contactos entre miembros de su campaña y el embajador ruso en Washington para enfriar el conflicto fueron objeto de investigación llegando a iniciarse un proceso de destitución. De esos tiempos viene la obsesión con China (e Irán) que  ha distorsionado toda la perspectiva de la ciberseguridad estadounidense.

Luego, el caos al que parece abonado Donald Trump ha exacerbado los problemas. Este noviembre, despidió a Christopher Krebs, director de CISA (Cyber and Infrastructure Security Agency), organismo creado hace dos años con la finalidad explicita de impedir que en las elecciones de 2020 se repitieran interferencias extranjeras. No se han denunciado incidencias, pero cuando Krebs se negó a secundar la pataleta de Trump ante su derrota, fue expulsado sin contemplaciones. La desmoralización entre los especialistas del gobierno se ha hecho  patente durante demasiados meses, culminando con el estigma de que el departamento de Seguridad Nacional (DHS) haya sido una de las víctimas de la infiltración de Sunburst. Lo peor es que el sistema de protección institucionalizada no inspira confianza en la clase política.

El presidente electo, Joe Biden, ha anticipado genéricamente cuál será su línea de antemano una línea de actuación: buscar la complicidad de los aliados de Estados Unidos para asegurarse de que “estos ataques insidiosos van a costar caros a sus responsables”. La consigna es cautelosa, cuando no vaga, pero Biden ha prometido que a partir del 20 de enero, “la ciberseguridad será una prioridad para todos los niveles del gobierno”.

A través de un mensaje en Facebook, el ministro de Asuntos Exteriores ruso, Serguéi Lavrov, ha desmentido cualquier implicación de su gobierno, pero a la vez ha recordado que el pasado septiembre Putin lanzó públicamente una iniciativa para “restaurar la cooperación con Estados Unidos en el campo de la seguridad de la información”, propuesta que no ha tenido respuesta. Se puede interpretar que, gracias a Sunburst, el Kremlin ha encontrado la manera de forzar una negociación que le devolvería la credibilidad perdida como interlocutor global y no sólo en determinados escenarios conflictivos.

Hasta aquí, el plano político, que es el fundamental en esta materia. Pero, ¿cuál ha sido el papel que involuntariamente han desempeñado SolarWinds y otras empresas tocadas de cerca por el ataque? La mencionada está en el  centro del escándalo y no es la primera vez: en enero tuvo que reconocer que su producto n-Central, una consola de monitorización y gestión remota, contenía un fallo que facilitaba el robo de las credenciales de administrador el software. Ya superado el enojoso episodio, se las prometía felices al alcanzar – precisamente el 7 de diciembre – su cotización máxima, de la que caería un 40% tras revelarse su implicación.

La página web de SolarWinds presume con orgullo de que su software es usado por el Pentágono, el departamento de Estado y el de Justicia, la NASA e incluso por la Oficina del Presidente de Estados Unidos, por cinco de las grandes firmas de auditoría y diez operadores de telecomunicaciones, así como por 425 compañías del ranking Fortune 500.  El reclamo publicitario se ha revertido en descrédito.

Microsoft se ha visto salpicada indirectamente al constatar que la infiltración del malware en Orion podría facilitar el acceso no autorizado a los servidores de correo valiéndose de tokens falsos como vectores para obtener datos alojados en Office 365. Según la compañía, solo se han encontrado síntomas de este malware en 44 clientes. El 80% de estos en Estados Unidos, pero entre los pocos extranjeros afectados habría al menos uno en España

Más complicado es el caso de FireEye, que tuvo la gallardía de ser la primera en desvelar que su software de protección había sido desviado de sus fines para que fueran instrumento de ataques a ciertos clientes en el gobierno estadounidense. El o los atacantes habrían conseguido acceder a algunos sistemas internos de FireEye pero, aparentemente, sin exfiltrar información primaria de los sistemas que almacenan información sobre sus clientes.

Las medidas tomadas desde que se descubrió la existencia del malware durmiente han conseguido, al parecer, cerrar la puerta trasera que había sido abierta ilícitamente. Pero la contaminación puede seguir escondida en los sistemas afectados; encontrarlo y desactivarlo es la tarea más urgente. Por otro lado, como es materialmente imposible que un grupo – aunque sea con patrocinio estatal – pueda llegar a controlar 18.000 (si no más) sistemas, queda pendiente averiguar qué objetivos específicos anda buscando el ciberespionaje.


Contacto Suscríbete RSS


Sobre el autor. Copyright © 2024 El dominio norbertogallego.com es propiedad y está administrado por Diandro SL. B85905537. Creative Commons