El diario plural del Zulia

Hackers de SolarWinds vinculados a conocidas herramientas de espionaje rusas

Los hallazgos son la primera evidencia disponible públicamente que respalda las afirmaciones de Estados Unidos de que Rusia orquestó el ataque, que comprometió una serie de agencias federales sensibles y se encuentra entre las operaciones cibernéticas más ambiciosas jamás reveladas.

El grupo detrás de una campaña global de ciberespionaje descubierta el mes pasado desplegó un código informático malicioso con enlaces a herramientas de espionaje utilizadas anteriormente por presuntos piratas informáticos rusos, dijeron investigadores este lunes.

Los investigadores de la firma de ciberseguridad con sede en Moscú Kaspersky dijeron que la "puerta trasera" utilizada para comprometer a hasta 18.000 clientes del fabricante de software estadounidense SolarWinds se parecía mucho al malware vinculado a un grupo de piratería conocido como "Turla", que según las autoridades estonias opera en nombre del FSB de Rusia. servicio de seguridad.

Los hallazgos son la primera evidencia disponible públicamente que respalda las afirmaciones de Estados Unidos de que Rusia orquestó el ataque, que comprometió una serie de agencias federales sensibles y se encuentra entre las operaciones cibernéticas más ambiciosas jamás reveladas.

Moscú ha negado repetidamente las acusaciones. El FSB no respondió a una solicitud de comentarios.

Costin Raiu, jefe de investigación y análisis global de Kaspersky, dijo que había tres similitudes distintas entre la puerta trasera de SolarWinds y una herramienta de piratería llamada "Kazuar" que utiliza Turla.

Las similitudes incluyeron la forma en que ambas piezas de malware intentaron ocultar sus funciones a los analistas de seguridad, cómo los piratas informáticos identificaron a sus víctimas y la fórmula utilizada para calcular los períodos en los que los virus permanecían inactivos en un esfuerzo por evitar la detección.

“Uno de esos hallazgos podría descartarse”, dijo Raiu. “Definitivamente dos cosas me hacen levantar una ceja. Tres es más que una coincidencia".

Atribuir con seguridad los ciberataques es extremadamente difícil y está plagado de posibles peligros. Cuando los piratas informáticos rusos interrumpieron la ceremonia de apertura de los Juegos Olímpicos de Invierno en 2018, por ejemplo, imitaron deliberadamente a un grupo norcoreano para intentar desviar la culpa.

Raiu dijo que las pistas digitales descubiertas por su equipo no implicaban directamente a Turla en el compromiso de SolarWinds, pero sí demostraron que había una conexión aún por determinar entre las dos herramientas de piratería.

Es posible que fueron implementados por el mismo grupo, dijo, pero también que Kazuar inspiró a los piratas informáticos de SolarWinds, ambas herramientas se compraron al mismo desarrollador de software espía, o incluso que los atacantes colocaron "banderas falsas" para engañar a los investigadores.

Los equipos de seguridad de Estados Unidos y otros países todavía están trabajando para determinar el alcance total del hack de SolarWinds. Los investigadores han dicho que podría llevar meses comprender el alcance del compromiso e incluso más tiempo desalojar a los piratas informáticos de las redes de víctimas.

Las agencias de inteligencia estadounidenses han dicho que los piratas informáticos eran "probablemente de origen ruso" y se dirigieron a un pequeño número de víctimas de alto perfil como parte de una operación de recopilación de inteligencia.

Lea también
Comentarios
Cargando...