El Departamento de Defensa de EE.UU. se enfrenta a un duro desafío al evaluar sus redes después de que presuntos hackers rusos hayan tenido acceso durante meses. (Aislan13/Getty Images)
WASHINGTON - Si los hackers rusos sospechosos de una gran brecha de seguridad cibernética se deslizaron en el Pentágono o en los sistemas informáticos militares, la fuerza de los bloqueos de la red de protección es clave para evitar que se escabullan para tratar de acceder a cantidades cada vez mayores de información.
Esas protecciones -en forma de conexiones seguras a la red- tienen que resistir la intromisión para evitar que los piratas informáticos salten de una red a otra para llegar potencialmente a comunicaciones sensibles o incluso a sistemas de armas, donde podrían robar o alterar datos o causar daños, dicen los expertos. Sin embargo, los observadores señalan que esta brecha parece ser hasta ahora una clásica campaña de espionaje, aunque con algunos de los métodos más sofisticados que se han visto hasta ahora.
"Ciertamente tenemos un alto grado de actividad en torno a eso en este momento", dijo el CIO de la Marina Aaron Weis a C4ISRNET. "Tenemos equipos que han actuado bajo las órdenes directas del Cyber Command y han ejecutado esas cosas. Seguimos trabajando en eso. Hay reuniones internas en curso en las que nos aseguramos de que hemos puesto las cosas correctas en su lugar. Absolutamente tiene toda nuestra atención."
En general, el Pentágono ha guardado silencio sobre la brecha públicamente mientras trabaja en el largo proceso de evaluación de las consecuencias de la intrusión, diciendo desde el principio que aún no se había detectado ninguna brecha, a pesar de los informes de los medios de comunicación que decían que la agencia estaba entre las oficinas del gobierno comprometidas a través de un software ampliamente utilizado de SolarWinds, una empresa de gestión de redes.
El presidente electo Joe Biden ha criticado al Pentágono por no informarle a él y a su equipo de transición completamente, desafiando la afirmación del presidente Donald Trump de que la situación está bajo control. El Pentágono discutió la idea de que está ocultando información a Biden, diciendo que las sesiones informativas continuarán a principios de enero después de un descanso durante las vacaciones.
Según la empresa de seguridad cibernética FireEye, que descubrió la brecha, el acceso que los hackers lograron ha permitido al actor malicioso entrar más en las redes informáticas.
Varios ex funcionarios de seguridad cibernética del gobierno dijeron a C4ISRNET que el movimiento lateral que permite a los sospechosos de ser piratas rusos profundizar en la investigación plantea el peor de los casos, con un sinfín de posibles resultados que se derivan de ello. El reto es que la red de sistemas del Departamento de Defensa incluye redes heredadas y modernizadas que se conectan a sistemas de armas y sistemas de control.
"Si un adversario hubiera entrado y se hubiera movido lateralmente, entonces todos los puntos de conexión de la red - cualquier lugar donde tengas conexiones entre las redes y esas relaciones de confianza - eso se vuelve muy difícil de defender", dijo la Contralmirante retirada Danelle Barrett, ex subdirectora general de la Marina y directora de la división de ciberseguridad.
"Dondequiera que se tengan esas relaciones de confianza, siempre hay que ser muy cuidadoso con lo que está pasando de un lado a otro del túnel", dijo Barrett.
Hay potencialmente dos dimensiones del peor de los casos en esta situación, dijo Jan Tighe, ex comandante del Cibercomando de la 10ª Flota/Flota y subjefe de operaciones navales para la guerra de información.
Primero, los cazadores de amenazas cibernéticas deben averiguar si el intruso persiste en la red. El trabajo Nº 1 de los equipos de respuesta es cortar cualquier acceso existente que los intrusos puedan tener, dijo Tighe. Si la intrusión fue una campaña de espionaje, el Departamento de Defensa tendrá que hacer una evaluación de los daños de la información afectada. Si la agencia no puede estar segura de qué datos y comunicaciones fueron accedidos, los líderes tienen que hacer suposiciones sobre lo que los hackers pueden haber alcanzado, dijo.
La segunda pregunta más preocupante es si los hackers alteraron los datos de alguna manera, lo cual, según Tighe, podría ser más problemático que destruir los datos.
"Tienes datos, pero no sabes si son realmente los datos correctos en tu red. Dependiendo del aspecto del Departamento de Defensa en el que estés, eso podría ser muy perjudicial", explicó.
Una vez dentro, el acceso dependería de a qué sistema fue el código malicioso a través de las actualizaciones del software de SolarWinds. Por ejemplo, una subida a los sistemas de administración central de una agencia podría ser perjudicial, ya que permitiría el acceso a información como los registros de usuario y las ubicaciones del sistema, dijo Frank Downs, ex analista de la NSA y director de servicios proactivos de la empresa de seguridad cibernética BlueVoyant.
Si el actor entrara en una red central a través de la vulnerabilidad de SolarWinds y encontrara una seguridad laxa en los sistemas conectados, eso podría causar graves problemas al departamento.
"Todo depende de lo que haya en la red y de los permisos de la red, pero podrían saltar de un nodo a otro nodo a otro nodo", dijo Downs. "Si tienen seguridad a fondo, las posibilidades de que puedan obtener un acceso mucho mayor son mucho menores, pero si sólo están sentados en una línea de base perimetral, no se ve bien".
Si esos privilegios de administrador de sistemas son vulnerables, los expertos dijeron que las cuentas podrían ser manipuladas y los privilegios elevados para permitir continuamente un mayor acceso.
"Van a entrar y construir todo tipo de puertas traseras que no vas a ser capaz de entender", dijo Barrett. "Van a ser capaces de manipular las cuentas y hacer cosas y ocultar sus huellas. No los vas a atrapar, y probablemente sigan ahí ahora."
Es probable que la comunicación se interrumpa durante un estudio de los posibles daños en la red. Específicamente, los funcionarios no deben enviar y recibir correos electrónicos en la red si los investigadores están buscando posibles compromisos, dijo Tighe, señalando que una de las primeras cosas que hizo la Agencia de Seguridad Cibernética y de Infraestructura fue decirle a las agencias que tuvieran una forma diferente de comunicarse mientras coordinaban la respuesta.
También hay más riesgo a través de la cadena de suministro de software. Otro escenario preocupante es si los atacantes encuentran la forma de actualizar el software de una empresa pirata, infectando aún más usuarios a través de esos productos de software o incluso el firmware de los chips u otro hardware, dijo Greg Conti, fundador de la empresa de seguridad cibernética Kopidion y ex jefe del Instituto Cibernético del Ejército de los Estados Unidos.
"Esto podría tener efectos de segundo, tercer o cuarto orden al propagarse que nunca sabremos", dijo Conti. "Esta cosa podría atacar, propagarse hacia afuera, las compañías podrían remediarlo, y luego podría volver a entrar a través de otro producto que estuviera comprometido."
Las autoridades creen que los hackers tuvieron acceso extensivo a algunas redes de gobierno o de negocios por hasta nueve meses. Con ese tiempo, ¿podrían los hackers haber descubierto cómo saltar el espacio aéreo destinado a bloquear el acceso de los usuarios de sistemas informáticos a los sistemas clasificados?
"Estoy especulando, pero la gente ha hecho cosas increíbles al convertir la memoria RAM de un ordenador en un transmisor de radio [para conectar con las redes de aire]", dijo Conti. "Hay cientos de cosas contraintuitivas y locas que la gente ha hecho. Esto es algo enorme, y hay una posibilidad no nula de que los atacantes hayan sacado su mejor capacidad súper secreta."
Las agencias podrían enfrentarse a otro problema si utilizan las mismas credenciales para los usuarios en partes no clasificadas y clasificadas de la red, permitiendo a los hackers robar credenciales no clasificadas y migrar a áreas más protegidas, señaló Tighe. Aunque los administradores trabajan para tener credenciales diferentes para cada uno, los raros casos en que son las mismas son preocupantes.
En otro escenario, podrían introducirse manipulaciones de datos sutiles y difíciles de detectar en el software de un sistema de armas para que éste funcione mal.
Sin embargo, Jamil Jaffer, fundador y director ejecutivo del Instituto de Seguridad Nacional de la Universidad George Mason, advirtió que no hay pruebas de que los rusos hayan dado ese paso, y que es poco probable debido a la fuerte reacción que probablemente provocaría. También señaló que si los rusos llegaran a amenazar con esa acción, eso suscitaría preocupación.
"No estoy seguro de que quieran hacer eso, porque creo que se dan cuenta de que si nos enteramos de que han participado en la manipulación o destrucción de datos, estarían cruzando una línea roja que provocaría una respuesta dura, pero podrían tratar de mantenernos en riesgo, y si lo hacen, eso también es un problema importante y podría obligarnos a ser más agresivos antes", dijo Jaffer.
Fuente:https://www.c4isrnet.com