(c) 2021, Bloomberg - William Turton, Jennifer Jacobs
Según dos personas con conocimiento del tema, hackers del gobierno de Rusia se infiltraron en los sistemas de computadoras del Comité Nacional Republicano (Republican National Committee, RNC por sus siglas en inglés) la semana pasada, más o menos al mismo tiempo que un grupo criminal ruso desató un masivo ataque de ransomware (programas piratas que colapsan los sistemas informáticos de sus víctimas si los hackers no reciben la recompensa que exigen).
Los hackers del gobierno ruso eran parte de un grupo conocido como APT29 o “Cozy Bear” (Osito Cariñoso), de acuerdo a las personas. Ese grupo ha estado vinculado al servicio de inteligencia exterior de Rusia y ha sido acusado previamente de haber hackeado al Comité Nacional Demócrata (Democratic National Committee, DNC por sus siglas en inglés) en 2016 y de haber llevado a cabo un ciberataque a la cadena de suministros de la empresa SolarWinds Corp, con el cual, como se divulgó en diciembre, pudieron infiltrarse en nueve agencias del gobierno de EEUU.
No se sabe a qué datos tuvieron acceso os si algo fue robado por los hackers. El RNC ha negado reiteradamente que haya sido hackeado. “No hay indicación de que el RNC haya sido hackeado o de que alguna información del RNC haya sido robada”, dijo el vocero Mike Reed.
En una declaración posterior a la publicación de esta historia, el jefe del despacho, Richard Walters, dijo que el RNC se enteró el fin de semana de que uno de sus proveedores terciarios, Synnex Corp, había sido hackeado.
“Inmediatamente bloqueamos todo el acceso desde las cuentas de Synnex a nuestro entorno de nube informática”, dijo él. Nuestro equipo trabajó con Microsoft para llevar a cabo una evaluación de nuestros sistemas y después de una minuciosa investigación, se llegó a la conclusión de que no hubo acceso a ninguna data del RNC. Seguiremos trabajando con Microsoft, así como con las autoridades federales de orden público, para resolver este asunto”.
En una declaración, Microsoft se negó a revelar detalles adicionales. “No podemos hablar de temas específicos referentes a casos particulares sin el permiso de nuestros clientes”, dijo un vocero de la compañía. “Continuamos rastreando las actividades maliciosas provenientes de otros estados-nación que actúan como amenazas – como lo hacemos rutinariamente – y notificamos a los clientes afectados”.
El vocero del Kremlin, Dmitry Peskov, negó cualquier participación del estado de Rusia. “Sólo podemos repetir que sea lo que sea que haya ocurrido, y no sabemos específicamente qué fue lo que ocurrió ahí, no tuvo conexión con la Moscú oficial”, dijo mediante una llamada en conferencia.
El ataque contra el RNC, aunado al reciente ataque de ransomware, es una gran provocación para el presidente Joe Biden, quien alertó al presidente ruso, Vladimir Putin, sobre los ciberataques en su encuentro del 16 de junio. Los dos países han estado teniendo “ciertos contactos” sobre seguridad cibernética como fue acordado en la reunión, dijo Peskov, rehusándose a dar más detalles o comentar sobre si el más reciente ha sido parte del diálogo.
No está claro si el ataque contra el RNC está conectado de alguna manera con los ataques de ransomware, los cuales explotaron las vulnerabilidades desconocidas del software de la compañía Kaseya Ltd., basada en Miami.
Biden se reunirá con varios líderes de agencias a puerta cerrada el miércoles para discutir los asuntos relacionados al ransomware y a cómo combatirlo, dijo la Casa Blanca en un comunicado el martes por la noche, describiendo esta amenaza como un asunto de “seguridad nacional y seguridad económica prioritario para la administración”.
En el caso del RNC, se sospecha que los hackers atacaron a través de la compañía californiana Synnex, basada en Fremont, de acuerdo con las personas, quienes solicitaron no ser identificadas ya que no tenían autorización para discutir asuntos confidenciales. En un comunicado de prensa, Synnex dijo que “está consciente de que en un par de instancias hubo actores externos que intentaron conseguir, a través de Synnex, acceso a las aplicaciones de clientes dentro de su entorno de nube informática con Microsoft”.
“Mientras continúa nuestra investigación, no podemos adelantar ningún detalle en específico”, dijo Michael Urban, presidente de Synnex para soluciones tecnológicas a nivel mundial, en una declaración para Bloomberg News. “Como ocurre con cualquier tema de seguridad, debemos completar nuestra evaluación de todas las compañías, sistemas y aplicaciones de terceros y soluciones tecnológicas relacionadas antes de que podamos llegar a las determinaciones finales”.
Los hackers de la inteligencia rusa están tomando ventaja del caos creado por la campaña global de ransomware para atacar valiosos objetivos de inteligencia, dijo una de las personas informadas de la situación. El ataque de ransomware – el cuál fue atribuido al grupo ruso REvil – pudo haber golpeado a más de 1.000 víctimas. Kaseya suministra software para proveedores de servicios gerenciados, quienes a su vez ofrecen servicios de soluciones tecnológicas para pequeñas y medianas empresas.
REvil ha exigido una recompensa de $70 millones en Bitcoin para desbloquear las computadoras de las víctimas, según los expertos en ciber-seguridad que analizaron un anuncio en la página web del grupo.
Kaseya dijo en una declaración que menos de 60 clientes fueron afectados por el ataque de ransomware, de los cuales todos usaban sus productos de almacenamiento virtual interno. “Aunque muchos de estos clientes proveen servicios de informática a muchas otras compañías, entendemos que el impacto total hasta ahora ha sido de menos de 1.500 entidades afectadas aguas abajo”, dijo Kaseya.
Charles Carmakal, vicepresidente de Mandiant, parte del conglomerado de ciber-seguridad FireEye Inc., dijo que su firma ha observado a los hackers del gobierno de Rusia llevar a cabo ataques en días recientes, aunque se rehusó a identificar a las víctimas. Carmakal dijo que no tenía conocimiento de primera mano sobre la infiltración del RNC.
“No hay duda, el gobierno de Rusia definitivamente se está beneficiando de que las compañías de seguridad y las organizaciones de inteligencia estén ahora tan enfocadas en los ataques de ransomware”, dijo Carmakal. “Pero la pregunta es, ¿está el gobierno de Rusia dando aprobación tácita a esos operadores de ransomware o les está dando instrucciones? No lo sé. ¿Es simplemente coincidencia de tiempo que el gobierno de Rusia esté haciendo lo que está haciendo ahora?”, dijo Carmakal. “¿Es esto coordinado y planificado? No tengo ni idea. Sé que ambas cosas están pasando, eso es un hecho, pero simplemente no sé el por qué”.
Lea el artículo original aquí.
