Cuando la parte más oscura de tener todo conectado a internet aparece, todo se tambalea. Pequeñas empresas, grandes corporaciones e incluso organismos oficiales, que se les presupone 'blindados' ante estas amenazas, han sido hackeados debido a una puerta trasera que se ha propagado por canales de distribución legítimos, saltándose todo tipo de medidas de seguridad.
Lo que ha hecho especial a este hackeo masivo es que los delincuentes consiguieron 'colar' el virus en una de las actualizaciones de Orion, una aplicación de monitorización y gestión de redes. Este programa, creado por SolarWinds, es uno de los más utilizados y su distribución mundial ha sido otro de sus principales quebraderos de cabeza.
Los expertos en ciberseguridad siempre recalcan la importancia de tener nuestras aplicaciones y programas actualizados a la última versión dispoble. El problema viene cuando una de esas actualizaciones viene acompañada de un virus o de una puerta trasera abierta a los delincuentes. "Todo está bajo control", se apresuró a publicar en Twitter Donald Trump. Pero todavía no está tan claro.
Según un comunicado que ha publicado la propia SolarWinds, alrededor de 18.000 organizaciones de todo el mundo habrían descargado la actualización infectada con el virus. Entre ellas, algunas instituciones tan delicadas como el Departamento del Tesoro, de Comercio y el de Seguridad Nacional de Estados Unidos. Estas agencias federales recibieron la orden -el pasado domingo- de tirar del cable. Desconectar los sistemas que ejecutan este software y realizar un análisis forense de sus redes. Una medido enfocada en comprobar si realmente se han infectado y, de ser así, conocer el verdadero alcance.
Dentro del Departamento de Comercio, una de las más afectadas parece ser la Administración Nacional de Telecomunicaciones e Información, según recoge el NY Times. Un organismo que ayuda a determinar la política para asuntos tan delicados como los relacionados con Internet, incluyendo el establecimiento de estándares, y el bloqueo de importaciones y exportaciones de tecnología.
Ataque masivo
De las primeras en dar la voz de alarma y en hacer público el hackeo fue FireEye, una compañía dedicada precisamente a la ciberseguridad, que detectó el robo de herramientas de ciberseguridad. Mediante un comunicado, el pasado 13 de diciembre afirmó que piratas informáticos "respaldados por un estado-nación comprometieron un mecanismo de actualización de software de SolarWinds y luego lo usaron para infectar a clientes del programa informático Orion seleccionados que instalaron una versión con una puerta trasera".
La acusación de FireEye apunta, directamente, al grupo de piratas informáticos Cozy Bear, una banda vinculada tradicionalmente al gobierno ruso conocida por los expertos como una de las 'clásicas' de la recolección de datos de inteligencia. Según las investigaciones, los delincuentes habrían tenido acceso a las cuentas de correo electrónico de los clientes infectados. Aunque solo parece ser la punta del iceberg.
Los atacantes consiguieron introducir el código en la actualización. El software se compiló y se envió por las vías tradicionales a los usuarios sin que ninguna compañía u organismo oficial se diera cuenta de ello. A todas luces y a la vista de cualquier técnico de IT, era una actualización de SolarWinds como otras muchas de las que reciben periódicamente.
Instituciones públicas y empresas privadas en las que los atacantes convivieron con el uso cotidiano de las herramientas empleando la puerta trasera desde, al menos, ocho meses. La fecha del inicio del ataque no está claro por el momento. Algunos analistas lo establecen entre marzo y abril de este año, pero otros apuntan al año 2019.
Esta forma de pasar inadvertidos dentro de las empresas se consigue utilizando técnicas muy sofisticadas propias de hackers profesionales. Lo habitual es que estos ataques, una vez dentro de la empresa, empleen herramientas automáticas que dejan un rastro mucho más claro para los profesionales de la ciberseguridad. Nada más lejos de la realidad.
El secreto del éxito del ataque ha sido, además de infiltrarse en SolarWinds, el sigilo con el que han actuado todo este tiempo. No dejar apenas rastros les ha permitido poder realizar cualquier tarea y acceder a todo tipo de información dentro de los servidores de las empresas.
Uno de los elementos atacados donde se han encontrado pistas es en el correo electrónico. Los ciberdelincuentes tenían acceso a todas las cuentas de email de algunas empresas y han descargado buzones completos. Nada se sabe del resto de información potencialmente descargada y será realmente complicado saber qué tienen realmente los atacantes.
Un ataque muy cuidado
Los objetivos marcados y la delicadeza del ataque son más propios de los servicios de inteligencia de cualquier país que de un grupo más o menos organizado o profesional. Algo en lo que coinciden empresas como FireEye. Esta compañía acusa directamente a los servicios de inteligencia rusos, algo que Donald Trump también ha desmentido vía Twitter.
Atacar a agencias gubernamentales y a contratistas del gobierno de Estados Unidos tan solo está al alcance de unas pocas potencias mundiales con auténticos ejércitos de hackers. A lo que se une el método tan complejo, el tiempo que han dedicado en poner en funcionamiento la puerta trasera y el sumo cuidado que han tenido durante el tiempo que ha durado el ataque para no levantar sospechas.
El ataque se reparte en un 44% en empresas de IT, 18% en instituciones gubernamentales, 18% en Laboratorio de ideas y ONG, un 9% en contratistas gubernamentales y un 11% en empresas de otras ramas, según Microsoft. Como se pueden observar, todos ellos ataques dirigidos a sectores clave que usaban el cliente de monitorización Orion de SolarWinds.
Aproximadamente el 80% de los clientes infectados se encuentran en Estados Unidos, pero también se han identificado amenazas en otros países del mundo. La misma Microsoft ha publicado que compañías de España, Canadá, México, Bélgica, Reino Unido, Israel y de los Emiratos Árabes Unidos han sido afectadas. Por el momento, ninguna empresa o institución pública española se ha pronunciado al respecto.
Segundo ataque
"La investigación a fondo de SolarWinds condujo al descubrimiento de un malware adicional que también afecta a su producto Orion", según el blog de Microsoft. Esta segunda brecha correspondería con otro ataque "que probablemente no esté relacionado" con el que hoy nos ocupa.
Este segundo ataque descubierto fue mucho menos sofisticado que el actual. Según recoge Reuters, "es una pieza de malware que imita a SolarWinds Orion, pero no está firmado digitalmente", algo que sí ocurre en el descubierto hace unos días.
Por el momento no está claro el alcance real de Supernova, como así se ha llamado esta segunda amenaza encontrada, ni si realmente ha conseguido desplegarse en las máquinas de algunos clientes de SolarWinds.
El nuevo hallazgo, cuyo origen se data en marzo, muestra que más de un grupo -aparentemente sin relación entre ellos- vio a SolarWinds como el intermediario perfecto para acceder a organismos oficiales y empresas.