Según la compañía de Nadella, en apenas tres meses, 600 empresas han recibido cerca de 23.000 ataques de grupos organizados. El objetivo, implementar un sistema de vigilancia a largo plazo.
Desde el pasado 1 de julio hasta el 19 de octubre, Microsoft avisó a más de 600 empresas de su cartera de clientes que estaban siendo víctimas del fuego cruzado que EEUU y Rusia llevan intercambiando en las profundidades de internet desde hace tiempo. Explican que estas empresas habrían recibido un total de 22.868 ataques en ese tiempo, poco más de tres meses. La cifra superaría holgadamente la cifra de amenazas en los últimos tres años, cuando se detectaron 20.500 intentos de este tipo. Esta revelación por parte de la compañía que pilota Satya Nadella ha puesto por enésima vez en alerta a los pesos pesados de esta industria en aquel país así como las autoridades ‘yankis’, despertando el miedo a otro gran ‘hackeo’ ruso.
Aunque no hay un grupo que haya reclamado la autoría o pedido un rescate, como suele ocurrir en las infecciones por ransomware, las sospechas -y casi certezas- apuntan a un viejo conocido, Nobelium. Es probable que no te suene el nombre. Es lo que se conoce, en la industria de la ciberseguridad, como «actor estatal», grupos de hackers profesionales con vinculaciones con diferentes gobiernos. Es bastante más posible que te suene la principal víctima del que a buen seguro es el mayor golpe la organización hasta ahora: Solarwinds. Una escaramuza contra este proveedor de software que tuvo a la propia Microsoft y otros gigantes como EyeFire, Cisco, Intel en alerta durante varias semanas.
Sospechoso habitual
Fueron miles de empresas en todo el mundo las que directa o indirectamente fueron afectadas por este agujero de seguridad explotado por dicha organización que, según diferentes fuentes, está muy próximo al Servicio de Inteligencia Exterior de Rusia, más conocido por las siglas SVR, que también habría participado en esta última oleada de ataques.
Se estima que en su momento, al infiltrarse en los sistemas de SolarWinds, estas organizaciones tuvieron que emplear cerca de un millar de ingenieros y especialistas en seguridad informática. Gracias a su trabajo, lograron dar con un agujero de seguridad y contaminar uno de los productos de la compañía llamado Orion. Lo que hicieron es sustituir un paquete de actualización del programa por otro infectado con un troyano.
Fue una ‘falsificación’ muy elaborada, ya que hasta consiguieron estampar el sello oficial de la empresa. Es lo que se llama ataque de cadena de suministro. Una vez hecho el cambio, se estima que 18.000 clientes se instalaron ese paquete dando, por así decirlo, una llave de sus sistemas a los integrantes de Nobelius, que pudieron campar a sus anchas durante bastante tiempo en las tripas de organizaciones e instituciones como el Tesoro de EEUU o el Departamento de Seguridad Nacional. Fue precisamente una de las afectadas por este ataque, EyeFire (una reputada empresa del sector de la ciberseguridad), dio la voz de alarma, pudiendo empezar a enmendar estos fallos de seguridad.
Esta nueva campaña mantiene la esencia de atacar una parte crítica de la cadena global que sostiene los sistemas de las tecnologías de la información y comunicación, comunmente conocidos como sistemas IT. «Esta actividad reciente es otro indicador de que Rusia está tratando de obtener acceso sistemático a largo plazo y establecer un mecanismo para vigilar, ahora o en el futuro, los objetivos de interés para el gobierno», explicaba Tom Burt, uno de los gerifaltes del departamento de seguridad de Microsoft en un comunicado oficial, aunque destacaba que se trata de que toda esta ‘cibercruzada’ ha sido detectada de forma precoz, por tanto se puede atajar el daño y conseguir que el daño sea relativamente bajo.
Misma meta, diferente carrera
Aunque el objetivo sea el mismo hay cambios sustanciales en el ‘modus operandi’, que en esta ocasión habría resultado mucho menos trabajado. En lugar de escrutar los sistemas con el fin de encontrar un butrón por donde inyectar el código como en el caso de SolarWinds, han optado por técnicas como el ‘phishing’ o ‘pesca de arrastre’ con contraseñas (bombardear los sistemas de acceso con bases de datos filtradas en internet). La finalidad de estas técnicas, bastante comunes como indicaban fuentes de la Administración Biden al WSJ, es obtener credenciales de los trabajadores de las diferentes organizaciones que están en la diana.
Los ataques se dirigen contra proveedores de las organizaciones a las que se quieren golpear
Hay otra modificación significativa: el objetivo. En esta ocasión han ido a por lo que se conoce como revendedores de ‘cloud computing’. Son empresas que son subcontratadas para personalizar, implementar y administrar servicios en la nube y otras soluciones tecnológicas. La idea es sencilla: engañar a los trabajadores y obtener sus credenciales, confiando en que tengan un acceso privilegiado a los datos de sus clientes.
Microsoft asegura que en total han sido 140 empresas de este tipo a las que los hackers de Nobelius han intentado atacar y que en una de cada diez ocasiones han tenido éxito. La compañía les ha comunicado la incidencia y les ha enviado un manual en el que explica cómo pueden moverse lateralmente los autores una vez han logrado acceder a sus sistemas. También han afirmado que seguirán implementando nuevas funciones de seguridad para aquellos que quieran brindar acceso privilegiado a sus proveedores. El año pasado ya anunciaron que revisaron los contratos con estos socios para poder expandir el margen de maniobra que Microsoft tenía para abordar estas crisis y obligar a instalar medidas de seguridad específicas para cada entorno. Voces citadas por el New York Times aseguran que los últimos ataques, si han tenido éxito ha sido porque esos intermediarios no han implementado estos controles solicitados preventivos a tiempo.
El fantasma de Colonial
Este último bombardeo se produce en un momento clave para Estados Unidos, que lleva meses reforzando sus capacidades de ciberdefensa, antes las crecientes amenazas y golpes que han recibido en este campo. Golpes que no se limitan al robo de información crítica, ya que también pueden afectar a infraestructuras críticas, como ocurrió con Colonial, uno de los oleoductos más importantes de la costa este del país, que estuvo paralizado durante varias jornadas por un ataque de ransomware el pasado mes de mayo y generando problemas de desabastecimiento en ciertas zonas de la Costa Este.
Cuando ocurrió la crisis de SolarWinds, la Casa Blanca, una vez sus servicios de inteligencia señalaron la relación de Rusia con los hechos, anunció una batería de sanciones que quedó descafeinada a la hora de la verdad para favorecer el diálogo. En paralelo, el presidente Joe Biden puso en marcha un plan para reforzar la seguridad de los organismos oficiales.
Los adjudicatarios de contratos públicos debían implementar y seguir un código de buenas prácticas que incluía cosas tan simples como la doble autenticación para acceder a los sistemas, algo que ocurre con los bancos o las compras online. También otras medidas como la obligación de informar cuando las compañías sufriesen un episodio así en menos de 24 horas. Algo que no siempre ocurre, dado que en el caso de muchas empresas que estos problemas trasnciendan puede suponer un importante revés para sus intereses económicos