Agencias de inteligencia de EEUU concluyeron que el hackeo masivo al gobierno fue “probablemente perpetrado por un actor de origen ruso”
Las entidades -FBI, CISA, ODNI y NSA- indicaron que el ataque tuvo como propósito “recolectar inteligencia” y que están “tomando las medidas necesarias para entender el alcance de la campaña y responder de manera acorde”
Las entidades, que formaron una unidad conjunta para investigar el hecho, indicaron en un comunicado que actualmente creen que el ataque tuvo como propósito “recolectar inteligencia” y que están “tomando las medidas necesarias para entender el alcance de la campaña y responder de manera acorde”.
“El Ciber Grupo de Coordinación Unificada (UCG, por sus siglas en inglés), cree que de los aproximadamente 18.000 clientes públicos y privados afectados, un grupo mucho más pequeño se vio comprometido por una actividad subsiguiente (al hackeo inicial) en sus sistemas. Hasta ahora hemos identificado menos de 10 agencias del gobierno estadounidense que entran en esta categoría, y estamos trabajando para identificar a entidades no gubernamentales que también se hayan visto impactadas”.
Entre las agencias del gobierno federal afectadas se cuentan los departamentos del Tesoro y del Comercio, así como aquella responsable de tomar decisiones sobre Internet y telecomunicaciones. En diciembre, además, el Departamento de Energía y la Administración Nacional de Seguridad Nuclear, que se ocupa del arsenal de armas nucleares de los Estados Unidos, denunció haber sido víctima de un ataque.
En cuanto a los actores no estatales, Microsoft informó a mediados de diciembre que hackers obtuvieron acceso a su “código fuente” interno, un elemento clave para la construcción de su software. El gigante tecnológico norteamericano aclaró, no obstante, que el ataque no pudo comprometer o modificar ninguno de sus programas.
Microsoft había reconocido anteriormente “aplicaciones SolarWinds maliciosas” en sus sistemas. Pero los últimos datos que obtuvo en su investigación interna revelaron que los hackers accedieron a sus sistemas más de lo que la empresa creía.
En otro pasaje del documento, el grupo -compuesto por agentes del FBI, CISA, ODNI y NSA- calificó a la brecha como “seria” y remarcó que remediarla requerirá un esfuerzo “sustanciado y dedicado”. “La UCG continuará realizando todas las acciones necesarias para investigar, remediar y compartir información con nuestros socios y con el pueblo americano”, agregó, asegurando a su vez que continuarán publicando nuevos datos a medida que pasen a estar disponibles.
Esta no es la primera vez que agencias estadounidenses vinculan a Rusia con el ataque. Ya se habían pronunciado en la misma línea el ahora ex fiscal general del país, William Barr, y el secretario de Estado Mike Pompeo. Este último aseguró el 19 de diciembre que el objetivo de la iniciativa era robar los secretos de múltiples agencias del Gobierno, incluidos el Pentágono y laboratorios nucleares.
El país euroasiático siempre ha negado cualquier tipo de involucramiento. “Si ha habido ataques durante muchos meses y los estadounidenses no pudieron hacer nada al respecto, probablemente no vale la pena culpar inmediatamente y sin fundamento a los rusos. No tuvimos nada que ver con eso”, expreso el portavoz del Kremlin, Dmitry Peskov, tras las acusaciones contra el Kremlin.
Las agencias han advertido que el alcance del ataque es tal que “infraestructuras cruciales” se han visto comprometidas, por lo que su presencia será difícil de eliminar. “Es probable que el adversario tenga más vectores de acceso inicial y tácticas, técnicas y procedimientos adicionales que aún no se han descubierto”, alertó CISA el mes pasado.
De acuerdo a lo indicado por las autoridades locales, los responsables del ataque espiaron durante meses a los clientes en todo el mundo de un producto de la empresa SolarWinds. El ciberataque se canalizó a través del popular programa llamado Orion, que monitorea redes informáticas y que usan el Gobierno de Estados Unidos, cientos de grandes compañías y empresas que supervisan infraestructuras cruciales.
SolarWinds, que dice que entre sus clientes se encuentran la mayoría de las compañías Fortune 500 de Estados Unidos, dijo que la maniobra fue llevada a cabo “por un estado nación exterior y destinado a ser un ataque limitado, sumamente dirigido y ejecutado manualmente”.
El ciberataque, que comenzó supuestamente en marzo, utilizó actualizaciones de ese software para entrar en los sistemas. CISA no ha identificado a las agencias afectadas ni ha revelado qué información podría haberse visto comprometida en la operación.