Internacional

Microsoft dice que fue golpeado por un ciberataque

Funcionarios estadounidenses sospechan que Rusia estuvo detrás de una campaña de piratería que afectó a agencias, incluida una que administra armas nucleares.

AL JAZZERA. Microsoft Corp dice que encontró software malicioso en sus sistemas relacionado con una enorme campaña de piratería divulgada por funcionarios en los Estados Unidos esta semana, agregando un objetivo de tecnología superior a una lista creciente de agencias gubernamentales atacadas.

La empresa con sede en Redmond, Washington, es usuaria de Orion, el software de gestión de redes de SolarWinds Corp ampliamente implementado que se utilizó en los presuntos ataques rusos contra agencias vitales de Estados Unidos y otras.

Microsoft también aprovechó sus propios productos para atacar a las víctimas, dijeron personas familiarizadas con el asunto. La Agencia de Seguridad Nacional de Estados Unidos emitió un raro “aviso de ciberseguridad” el jueves detallando cómo ciertos servicios en la nube de Microsoft Azure pueden haber sido comprometidos por piratas informáticos y dirigiendo a los usuarios a bloquear sus sistemas.

Un analista describió los ataques contra Microsoft y las agencias gubernamentales de Estados Unidos como “extremadamente graves”.

“Al igual que otros clientes de SolarWinds, hemos estado buscando activamente indicadores de este actor y podemos confirmar que detectamos binarios maliciosos de Solar Winds en nuestro entorno, que aislamos y eliminamos”, dijo un portavoz de Microsoft a última hora del jueves, agregando que la compañía había no encontró “indicios de que nuestros sistemas fueran utilizados para atacar a otros”.

Pero un analista describió los ataques contra Microsoft y las agencias gubernamentales de Estados Unidos como “extremadamente graves”.

“Esto está siendo visto como una llamada de atención, lo cual es lamentable, porque deberíamos estar despiertos en este punto”, dijo a Al Jazeera Richard Stiennon, fundador de la firma de investigación industrial IT-Harvest.

Una de las personas familiarizadas con la ola de piratería dijo que los piratas informáticos hicieron uso de las ofertas en la nube de Microsoft y evitaron la infraestructura corporativa de Microsoft.

Microsoft no respondió de inmediato a las preguntas sobre la técnica.

Aún así, otra persona familiarizada con el asunto dijo que el Departamento de Seguridad Nacional (DHS) no cree que Microsoft sea una vía clave para una nueva infección.

Varios métodos

Microsoft y el DHS, que el jueves temprano dijeron que los piratas informáticos utilizaron múltiples métodos de entrada, continúan investigando.

El FBI y otras agencias han programado una sesión informativa clasificada para miembros del Congreso el viernes.

El Departamento de Energía de Estados Unidos también dijo que tiene evidencia de que los piratas informáticos obtuvieron acceso a sus redes como parte de la campaña. El sitio de noticias Politico había informado anteriormente que la Administración Nacional de Seguridad Nuclear (NNSA), que administra el arsenal de armas nucleares del país, también se vio afectada.

El Departamento de Energía de Estados Unidos también dijo que tiene evidencia de que los piratas informáticos obtuvieron acceso a sus redes.

Una portavoz del Departamento de Energía dijo que el malware “se ha aislado solo en redes comerciales” y no ha afectado la seguridad nacional de Estados Unidos, incluida la NNSA.

El DHS dijo en un boletín el jueves que los piratas informáticos habían utilizado otras técnicas además de corromper las actualizaciones del software de gestión de red de SolarWinds, que utilizan cientos de miles de empresas y agencias gubernamentales.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtió sobre un riesgo “grave” para las redes gubernamentales y privadas.

Instó a los investigadores a no asumir que sus organizaciones estaban a salvo si no usaban versiones recientes del software SolarWinds, y también señaló que los piratas no explotaron todas las redes a las que obtuvieron acceso.

CISA dijo que continúa analizando las otras vías utilizadas por los atacantes. Hasta ahora, se sabe que los piratas informáticos han supervisado al menos el correo electrónico u otros datos dentro de los departamentos de Defensa, Estado, Tesoro, Seguridad Nacional y Comercio de EE. UU.

Hasta 18.000 clientes de Orion descargaron las actualizaciones que contenían una puerta trasera, dijo SolarWinds. Desde que se descubrió la campaña, las empresas de software han cortado la comunicación desde esas puertas traseras hasta las computadoras mantenidas por los piratas informáticos.

Pero los atacantes podrían haber instalado formas adicionales de mantener el acceso, dijo CISA, en lo que algunos han llamado el mayor hackeo en 10 años.

El Departamento de Justicia, el FBI y el Departamento de Defensa, entre otros, han trasladado la comunicación de rutina a redes clasificadas que se cree no han sido violadas, según dos personas informadas sobre las medidas. Están asumiendo que se ha accedido a las redes no clasificadas, dijeron las personas.

Cubriendo sus huellas

CISA y empresas privadas, incluida FireEye Inc, que fue la primera en descubrir y revelar que había sido pirateada, han publicado una serie de pistas para que las organizaciones las busquen para ver si han sido atacadas.

Pero los atacantes son muy cuidadosos y han eliminado registros, huellas electrónicas o los archivos a los que han accedido, dijeron los expertos en seguridad. Eso hace que sea difícil saber qué se ha llevado.

Algunas grandes empresas han dicho que “no tienen evidencia” de que hayan sido penetradas, pero en algunos casos eso puede deberse a que se eliminaron las pruebas.

En la mayoría de las redes, los atacantes también habrían podido crear datos falsos, pero hasta ahora parece que solo estaban interesados ​​en obtener datos reales, dijeron personas que rastreaban las sondas.

Los atacantes son muy cuidadosos y han eliminado registros, huellas electrónicas o los archivos a los que han accedido.

Mientras tanto, los miembros del Congreso exigen más información sobre lo que se pudo haber tomado y cómo, junto con quién estuvo detrás. El Comité de Seguridad Nacional y el Comité de Supervisión de la Cámara de Representantes anunciaron una investigación el jueves, mientras que los senadores presionaron para saber si se obtuvo información fiscal individual.

El ataque, si las autoridades pueden demostrar que fue llevado a cabo por Rusia como creen los expertos, crea un nuevo problema de política exterior para el presidente Donald Trump en sus últimos días en el cargo.

Rusia ha negado cualquier participación en el ataque.

En un comunicado, el presidente electo Joe Biden dijo que “elevaría la ciberseguridad como un imperativo en todo el gobierno” y “interrumpiría y disuadiría a nuestros adversarios” de emprender ataques tan importantes.