Últimas Notícias

À medida que a compreensão da pirataria na Rússia cresce, o alarme também

No dia da eleição, o general Paul M. Nakasone, o principal guerreiro cibernético do país, relatou que a batalha contra a interferência russa na campanha presidencial foi extremamente bem-sucedida e expôs as armas, ferramentas e dispositivos online do outra parte.

“Expandimos nossas operações e nos sentimos muito bem onde estamos agora”, disse ele a repórteres.

Oito semanas depois, o general Nakasone e outras autoridades dos EUA responsáveis ​​pela segurança cibernética estão agora consumidos pelo que perderam por pelo menos nove meses: um hack, que agora se acredita ter afetado mais de 250 agências federais e empresas, que a Rússia não visou o sistema eleitoral. mas no resto do governo dos Estados Unidos e em muitas grandes corporações americanas.

Três semanas depois que a intrusão veio à tona, as autoridades americanas ainda estão tentando entender se o que os russos realizaram foi simplesmente uma operação de espionagem dentro dos sistemas da burocracia americana ou algo mais sinistro, inserindo o acesso “por a porta dos fundos “para agências governamentais, grandes corporações. , a rede elétrica e os laboratórios que desenvolvem e transportam novas gerações de armas nucleares.

No mínimo, disparou alarmes sobre a vulnerabilidade das redes do governo e do setor privado nos Estados Unidos a ataques e levantou questões sobre como e por que as defesas cibernéticas do país falharam de forma tão espetacular.

Essas questões assumiram especial urgência, uma vez que a violação não foi detectada por nenhuma das agências governamentais que compartilham a responsabilidade pela defesa cibernética: o Comando Cibernético do Exército e a Agência de Segurança Nacional, ambos liderados pelo General Nakasone, e o Departamento de Terra natal. Segurança, mas de uma empresa privada de segurança cibernética, FireEye.

“Isso parece muito, muito pior do que eu temia no início”, disse o senador Mark Warner, democrata da Virgínia e membro de alto escalão do Comitê de Inteligência do Senado. Seu tamanho continua a se expandir. É claro que o governo dos Estados Unidos não percebeu. “

“E se FireEye não tivesse se apresentado”, acrescentou ele, “não tenho certeza se estamos totalmente cientes disso até hoje.”

Entrevistas com os principais participantes investigando o que as agências de inteligência acreditam ser um S.V.R. Da Russia. O serviço de inteligência revelou estes pontos:

  • A lacuna é muito maior do que se pensava anteriormente. As estimativas iniciais eram de que a Rússia enviou suas sondas para apenas algumas dezenas das 18.000 redes privadas e governamentais às quais tiveram acesso quando inseriram o código em um software de gerenciamento de rede feito por uma empresa do Texas chamada SolarWinds. Mas, à medida que empresas como Amazon e Microsoft, que fornecem serviços em nuvem, buscam evidências mais detalhadas, agora parece que a Rússia explorou várias camadas da cadeia de suprimentos para obter acesso a até 250 redes.

  • Os hackers administraram sua invasão de servidores nos Estados Unidos, aproveitando as proibições legais da Agência de Segurança Nacional de participar da vigilância nacional e contornar as defesas cibernéticas implantadas pelo Departamento de Segurança Interna.

  • Os sensores de “alerta precoce” colocados pelo Cyber ​​Command e pela National Security Agency em redes estrangeiras para detectar ataques em andamento claramente falharam. Também não há indicação de que alguma inteligência humana tenha alertado os Estados Unidos sobre a pirataria.

  • A ênfase do governo na defesa eleitoral, embora crítica em 2020, pode ter desviado recursos e atenção de questões de longa data, como a proteção da “cadeia de suprimentos” de software. Também no setor privado, empresas que se concentraram em segurança eleitoral, como FireEye e Microsoft, agora estão revelando que foram violadas como parte de um ataque maior à cadeia de abastecimento.

  • SolarWinds, a empresa que os hackers usaram como um canal para seus ataques, tinha um histórico de segurança ruim para seus produtos, o que a torna um alvo fácil, de acordo com funcionários e pesquisadores atuais e ex-funcionários do governo. Seu presidente-executivo, Kevin B. Thompson, que deixa o emprego após 11 anos, evitou a questão de se sua empresa deveria ter detectado a intrusão.

  • Alguns dos softwares comprometidos da SolarWinds foram projetados na Europa Oriental, e pesquisadores americanos agora estão examinando se o ataque teve origem ali, onde os agentes de inteligência russos estão profundamente enraizados.

As intenções por trás do ataque permanecem ocultas. Mas com a tomada de posse de um novo governo em três semanas, alguns analistas dizem que os russos podem estar tentando abalar a confiança de Washington na segurança de suas comunicações e demonstrar seu arsenal cibernético para ganhar influência contra o presidente eleito Joseph R. Biden Jr. antes das negociações sobre armas nucleares. .

“Ainda não sabemos quais eram os objetivos estratégicos da Rússia”, disse Suzanne Spaulding, que foi a diretora cibernética do Departamento de Segurança Interna durante o governo Obama. “Mas devemos nos preocupar que parte disso possa ir além do reconhecimento. Seu objetivo pode ser colocar-se em posição de influenciar a nova administração, como apontar uma arma para nossa cabeça para nos dissuadir de agir para conter Putin. “

O governo dos Estados Unidos foi claramente o foco principal do ataque, com o Departamento do Tesouro, Departamento de Estado, Departamento de Comércio, Departamento de Energia e partes do Pentágono entre as agências confirmadas como infiltrados. (O Departamento de Defesa insiste que os ataques a seus sistemas foram malsucedidos, embora não tenha oferecido nenhuma evidência.)

Mas a pirataria também afetou um grande número de empresas, muitas das quais ainda não deram um passo à frente. Acredita-se que a SolarWinds seja um dos vários fornecedores da cadeia de suprimentos que a Rússia usou para hackear. A Microsoft, que registrou 40 vítimas até 17 de dezembro, inicialmente disse que ela não tinha sido estuprada, apenas para descobrir esta semana que ela tinha, e que os revendedores de seu software também. Uma avaliação não relatada anteriormente pela equipe de inteligência da Amazon descobriu que o número de vítimas pode ter sido cinco vezes maior, embora as autoridades alertem que algumas delas podem ser contadas duas vezes.

Publicamente, as autoridades disseram não acreditar nos hackers da empresa russa S.V.R. Sistemas classificados perfurados contendo comunicações e planos confidenciais. Mas, em particular, as autoridades dizem que ainda não têm uma imagem clara do que pode ter sido roubado.

Eles disseram que estavam preocupados com os dados confidenciais, mas não confidenciais, que os hackers poderiam ter obtido de vítimas como a Federal Energy Regulatory Commission, incluindo o Black Start, os planos detalhados de como os Estados Unidos planejam restaurar a energia em caso de um apagão catastrófico.

Os planos dariam à Rússia uma lista de sistemas para evitar que a energia fosse restaurada em um ataque como o que foi realizado na Ucrânia em 2015, cortando energia por seis horas no auge do inverno. Moscou malware de longa data na rede elétrica dos EUA, e Os Estados Unidos fizeram o mesmo com a Rússia como meio de dissuasão.

Um dos principais focos da investigação até agora tem sido a SolarWinds, a empresa com sede em Austin cujas atualizações de software comprometeram hackers.

Mas o braço de segurança cibernética do Departamento de Segurança Interna concluiu que os hackers trabalharam por meio de outros canais, também. E na semana passada, CrowdStrike, outra empresa de segurança, revelou que também foi atacadosem sucesso pelos próprios hackers, mas por meio de uma empresa que revende software Microsoft.

Como os revendedores geralmente são encarregados de configurar o software do cliente, eles, como a SolarWinds, têm amplo acesso às redes de clientes da Microsoft. Como resultado, eles podem ser um cavalo de Tróia ideal para hackers russos. Oficiais de inteligência expressaram raiva porque a Microsoft não detectou o ataque antes; a empresa, que disse quinta-feira que os hackers viu seu código-fonte, não revelou quais de seus produtos foram afetados ou há quanto tempo os hackers permaneceram em sua rede.

“Eles visavam os pontos mais fracos da cadeia de abastecimento e por meio de nossos relacionamentos mais confiáveis”, disse Glenn Chisholm, fundador da Obsidian Security.

Entrevistas com atuais e ex-funcionários da SolarWinds sugerem que demorou para tornar a segurança uma prioridade, mesmo com seu software sendo adotado pela principal empresa de segurança cibernética e agências federais da América.

Os funcionários dizem que com o Sr. Thompson, um contador por formação e ex-CFO, todas as partes da empresa foram examinadas para redução de custos e práticas comuns de segurança foram evitadas por causa de suas despesas. Sua abordagem ajudou quase a triplicar as margens de lucro anual da SolarWinds para mais de US $ 453 milhões em 2019, de US $ 152 milhões em 2010.

Mas algumas dessas medidas podem ter colocado a empresa e seus clientes em maior risco de ataque. A SolarWinds transferiu grande parte de sua engenharia para escritórios satélite na República Tcheca, Polônia e Bielo-Rússia, onde os engenheiros tinham amplo acesso ao software de gerenciamento de rede Orion comprometido por agentes na Rússia.

A empresa disse apenas que a adulteração de seu software foi obra de hackers humanos e não de um programa de computador. Não abordou publicamente a possibilidade de um insider estar envolvido na violação.

Nenhum dos clientes da SolarWinds contatados pelo The New York Times nas últimas semanas sabia que dependia de software mantido na Europa Oriental. Muitos disseram que nem sabiam que estavam usando o software SolarWinds até recentemente.

Mesmo com seu software instalado em redes federais, os funcionários disseram que a SolarWinds aplicou segurança apenas em 2017, sob a ameaça de ser sancionada por uma nova lei de privacidade europeia. Só então, dizem os funcionários, a SolarWinds contratou seu primeiro CIO e instalou um vice-presidente de “arquitetura de segurança”.

Ian Thornton-Trump, ex-consultor de segurança cibernética da SolarWinds, disse que advertiu a administração naquele ano que, a menos que adotasse uma abordagem mais proativa em relação à segurança interna, um episódio de segurança cibernética seria “catastrófico”. Depois que suas recomendações básicas foram ignoradas, Thornton-Trump deixou a empresa.

A SolarWinds se recusou a responder a perguntas sobre a adequação de sua segurança. Em um comunicado, ele disse que foi “vítima de um ataque cibernético altamente sofisticado, complexo e seletivo” e que estava trabalhando em estreita colaboração com a polícia, agências de inteligência e especialistas em segurança para investigar.

Mas especialistas em segurança dizem que levou dias depois que o ataque russo foi descoberto até que os sites da SolarWinds parassem de oferecer código comprometido aos clientes.

Bilhões de dólares em orçamentos de cibersegurança foram gastos nos últimos anos em programas de espionagem ofensiva e de ação preventiva, o que o general Nakasone chama de necessidade de “defender o futuro” invadindo redes de adversários para obter um vislumbre antecipado de suas operações e neutralizá-los. dentro de suas próprias redes, antes que possam atacar, se necessário.

Mas essa abordagem, embora saudada como uma estratégia há muito esperada para prevenir ataques, negligenciou a lacuna russa.

Ao realizar seus ataques a partir de servidores dentro dos Estados Unidos, em alguns casos usando computadores na mesma cidade ou vila que suas vítimas, de acordo com a FireEye, os russos aproveitaram os limites da autoridade da Agência de Segurança Nacional. O Congresso não concedeu à agência ou à segurança nacional qualquer autoridade para entrar ou defender redes do setor privado. Foi nessas redes que a S.V.R. os operativos foram menos cuidadosos, deixando pistas sobre suas intrusões que FireEye foi finalmente capaz de encontrar.

Ao inserir na atualização do SolarWinds Orion e usar ferramentas personalizadas, eles também evitaram disparar os alarmes do sistema de detecção “Einstein” que a segurança nacional implementou em agências governamentais para detectar malware conhecido, e o chamado C.D.M. programa que foi explicitamente projetado para alertar agências sobre atividades suspeitas.

Alguns funcionários da inteligência se perguntam se o governo estava tão focado na interferência eleitoral que criou vagas em outros lugares.

As agências de inteligência concluíram há meses que a Rússia determinou que não poderia se infiltrar em sistemas eleitorais suficientes para afetar o resultado das eleições, e em vez disso, ele mudou sua atenção para desviar ataques de ransomware que poderiam privar os eleitores e influenciar as operações destinadas a semear a discórdia, levantando dúvidas sobre a integridade do sistema e mudando a mentalidade dos eleitores.

O hack da SolarWinds, que começou em outubro de 2019, e intrusão em revendedores Microsoft, deu à Rússia a oportunidade de atacar as redes mais vulneráveis ​​e menos defendidas em várias agências federais.

O general Nakasone não quis ser entrevistado. Mas um porta-voz da Agência de Segurança Nacional, Charles K. Stadtlander, disse: “Não consideramos isso uma compensação para ‘um ou outro’. As ações, percepções e novas estruturas construídas durante os esforços de segurança eleitoral têm amplos impactos positivos para a postura de segurança cibernética da nação e do governo dos EUA. “

De fato, os Estados Unidos parecem ter conseguido persuadir a Rússia de que um ataque com o objetivo de alterar os votos provocaria uma retaliação custosa. Mas, à medida que a escala da invasão entra em foco, fica claro que o governo dos Estados Unidos não conseguiu convencer a Rússia de que haveria uma consequência comparável à execução de invasões extensas no governo federal e nas redes corporativas.

Oficiais de inteligência dizem que podem levar meses, até anos, antes que eles entendam completamente o hacking.

Já que a extração de um importante informante do Kremlin em 2017, o conhecimento do C.I.A. nas operações russas foi reduzido. E o S.V.R. continua sendo um dos serviços de inteligência mais capazes do mundo, evitando comunicações eletrônicas que possam expor seus segredos à Agência de Segurança Nacional, dizem funcionários de inteligência.

As melhores críticas de S.V.R. Eles vieram dos holandeses. Em 2014, hackers que trabalham para o Serviço de Segurança e Inteligência Geral da Holanda invadiram os computadores usados ​​pelo grupo, observaram-nos por pelo menos um ano e, a certa altura, os capturaram com as câmeras.

Foram os holandeses que ajudaram a alertar a Casa Branca e o Departamento de Estado sobre um S.V.R. seus sistemas foram hackeados em 2014 e 2015. E embora o grupo não seja conhecido por ser destrutivo, é muito difícil expulsá-lo dos sistemas de computador nos quais ele se infiltrou.

Quando o S.V.R. Hackeando sistemas não classificados no Departamento de Estado e na Casa Branca, Richard Ledgett, então vice-diretor da Agência de Segurança Nacional, disse que a agência estava envolvida no equivalente digital do “combate corpo a corpo”. Em um ponto, o S.V.R. obteve acesso à ferramenta NetWitness Investigator, que os pesquisadores usam para arrancar as portas dos fundos da Rússia, manipulando-a de forma que os hackers continuem a escapar da detecção.

Os investigadores disseram que presumiriam que o S.V.R. havia sido expulso, apenas para descobrir que o grupo havia entrado por outra porta.

Alguns especialistas em segurança disseram que se livrariam de tantas agências federais espalhadas pelo S.V.R. pode ser inútil e o único caminho a seguir pode ser encerrar os sistemas e reiniciar. Outros disseram que fazer isso no meio de uma pandemia seria proibitivamente caro e demorado, e que a nova administração teria que trabalhar para identificar e conter todos os sistemas comprometidos antes de poder calibrar uma resposta.

“O S.V.R. é deliberado, eles são sofisticados e não têm as mesmas restrições legais que temos aqui no Ocidente ”, disse Adam Darrah, um ex-analista de inteligência do governo que agora é diretor de inteligência da Vigilante, uma empresa de segurança.

Sanções, acusações e outras medidas, acrescentou, não conseguiram dissuadir o S.V.R., que mostrou que pode se adaptar rapidamente.

“Eles estão nos observando muito de perto agora”, disse Darrah. “E eles irão girar de acordo.”

Source link

Deixe um comentário

O seu endereço de e-mail não será publicado.

Botão Voltar ao topo