Presuntos piratas informáticos chinos utilizaron el error de SolarWinds para espiar a la agencia de nómina de EE. UU
WASHINGTON (Reuters) – Presuntos piratas informáticos chinos explotaron una falla en el software creado por SolarWinds Corp para ayudar a ingresar a computadoras del gobierno de Estados Unidos el año pasado, dijeron a Reuters cinco personas familiarizadas con el asunto, lo que marca un nuevo giro en una brecha de seguridad cibernética en expansión que los legisladores estadounidenses han calificado una emergencia de seguridad nacional.
Dos personas informadas sobre el caso dijeron que los investigadores del FBI descubrieron recientemente que el Centro Nacional de Finanzas, una agencia federal de nóminas dentro del Departamento de Agricultura de EE. UU., Se encontraba entre las organizaciones afectadas, lo que generó temores de que los datos sobre miles de empleados del gobierno se hayan visto comprometidos.
La falla de software explotada por el presunto grupo chino es independiente de la que Estados Unidos ha acusado a los operativos del gobierno ruso de usar para comprometer hasta 18,000 clientes de SolarWinds, incluidas agencias federales sensibles, al secuestrar el software de monitoreo de red Orion de la compañía.
Investigadores de seguridad han dicho anteriormente que un segundo grupo de piratas informáticos estaba abusando del software de SolarWinds al mismo tiempo que el supuesto ataque ruso, pero la supuesta conexión con China y la consiguiente violación del gobierno de EE. UU. No se habían informado anteriormente.
Reuters no pudo establecer cuántas organizaciones se vieron comprometidas por la presunta operación china. Las fuentes, que hablaron bajo condición de anonimato para discutir las investigaciones en curso, dijeron que los atacantes utilizaron infraestructura informática y herramientas de piratería previamente implementadas por ciberespías chinos respaldados por el estado.
El Ministerio de Relaciones Exteriores de China dijo que atribuir los ciberataques era un «problema técnico complejo» y que cualquier alegación debería estar respaldada con pruebas. «China se opone resueltamente y combate cualquier forma de ciberataques y robos cibernéticos», dijo en un comunicado.
SolarWinds dijo que estaba al tanto de un solo cliente que se vio comprometido por el segundo grupo de piratas informáticos, pero que «no había encontrado nada concluyente» para demostrar quién era el responsable. La compañía agregó que los atacantes no obtuvieron acceso a sus propios sistemas internos y que había lanzado una actualización para corregir el error del software explotado en diciembre.
Un portavoz del USDA reconoció que se había producido una violación de datos, pero declinó hacer más comentarios. El FBI se negó a comentar.
Aunque los dos esfuerzos de espionaje se superponen y ambos apuntan al gobierno de los EE. UU., Eran operaciones separadas y claramente diferentes, según cuatro personas que han investigado los ataques y expertos externos que revisaron el código utilizado por ambos grupos de piratas informáticos.
Mientras que los presuntos piratas informáticos rusos penetraron profundamente en la red SolarWinds y ocultaron una «puerta trasera» en las actualizaciones de software de Orion que luego se enviaron a los clientes, el presunto grupo chino explotó un error separado en el código de Orion para ayudar a propagarse a través de redes que ya habían comprometido. dijeron las fuentes.
INCUMPLIMIENTO EXTREMADAMENTE GRAVE…
Las misiones paralelas muestran cómo los piratas informáticos se están enfocando en las debilidades de productos de software oscuros pero esenciales que son ampliamente utilizados por las principales corporaciones y agencias gubernamentales.
“Aparentemente, SolarWinds era un objetivo de alto valor para más de un grupo”, dijo Jen Miller-Osborn, subdirectora de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks. El ex director de seguridad de la información de EE. UU., Gregory Touhill, dijo que no era inusual que grupos separados de piratas informáticos atacaran el mismo producto de software. “No sería la primera vez que vemos a un actor de un estado-nación surfeando detrás de otra persona, es como ‘redactar’ en NASCAR”, dijo, donde un auto de carreras obtiene una ventaja al seguir de cerca el ejemplo de otro.
La conexión entre el segundo conjunto de ataques a clientes de SolarWinds y presuntos piratas informáticos chinos solo se descubrió en las últimas semanas, según analistas de seguridad que investigan junto con el gobierno de EE. UU.
Reuters no pudo determinar qué información los atacantes pudieron robar del Centro Nacional de Finanzas (NFC) o qué tan profundo se enterraron en sus sistemas. Pero el impacto potencial podría ser «masivo», dijeron a Reuters ex funcionarios del gobierno de Estados Unidos.
La NFC es responsable de manejar la nómina de múltiples agencias gubernamentales, incluidas varias involucradas en la seguridad nacional, como el FBI, el Departamento de Estado, el Departamento de Seguridad Nacional y el Departamento del Tesoro, dijeron los ex funcionarios.
Los registros que tiene la NFC incluyen los números de seguro social de los empleados federales, los números de teléfono y las direcciones de correo electrónico personales, así como la información bancaria. En su sitio web, la NFC dice que «da servicio a más de 160 agencias diversas, brindando servicios de nómina a más de 600,000 empleados federales». El portavoz del USDA dijo en un correo electrónico: «El USDA ha notificado a todos los clientes (incluidos individuos y organizaciones) cuyos datos se han visto afectados».
«Dependiendo de qué datos se vieron comprometidos, esto podría ser una violación de seguridad extremadamente grave», dijo Tom Warrick, ex alto funcionario del Departamento de Seguridad Nacional de EE. UU. «Podría permitir a los adversarios saber más sobre los funcionarios estadounidenses, mejorando su capacidad para recopilar inteligencia».
