La Casa Blanca dice que cree que las agencias gubernamentales estadounidenses se defendieron en gran medida del último ataque de ciberespionaje atribuido a los agentes de inteligencia rusos, y dijo que la campaña de phishing no debería dañar más las relaciones con Moscú antes de la cumbre presidencial planificada para el próximo mes.
Los funcionarios restaron importancia al ataque cibernético como un «phishing básico» en el que los piratas informáticos utilizaron correos electrónicos cargados de malware para atacar los sistemas informáticos de agencias gubernamentales estadounidenses y extranjeras, grupos de expertos y grupos humanitarios. Microsoft, que reveló el esfuerzo el jueves por la noche, dijo que creía que la mayoría de los correos electrónicos estaban bloqueados por sistemas automatizados que los marcaban como spam.
Hasta el viernes por la tarde, la compañía dijo que «no ve evidencia de un número significativo de organizaciones comprometidas en este momento».
Aun así, la revelación de una nueva campaña de espionaje tan cerca de la cumbre del 16 de junio entre el presidente Joe Biden y su homólogo ruso Vladimir Putin se suma a la urgencia de los esfuerzos de la Casa Blanca para enfrentar al Kremlin por la agresiva actividad cibernética que han realizado las acusaciones penales y las sanciones diplomáticas. poco para disuadir.
«No creo que vaya a crear un nuevo punto de tensión porque el punto de tensión ya es muy grande», dijo James Lewis, vicepresidente senior del Centro de Estudios Estratégicos e Internacionales. “Esto claramente tiene que estar en la agenda de la cumbre. El presidente tiene que poner algunos marcadores ”para dejar claro“ que se acabaron los días en que ustedes podían hacer lo que quisieran ”.
La cumbre se produce en medio de tensiones latentes impulsadas en parte por la interferencia electoral de Moscú y por una violación masiva de las agencias gubernamentales de EE. UU. Y las corporaciones privadas por parte de los ciberespías de élite rusos que infectaron la cadena de suministro de software con códigos maliciosos. Estados Unidos respondió con sanciones el mes pasado, lo que llevó al Kremlin a advertir sobre represalias.
Cuando se le preguntó el viernes si el último esfuerzo de piratería afectaría la cumbre Biden-Putin, la subsecretaria de prensa adjunta principal, Karine Jean-Pierre, dijo: «Vamos a seguir adelante con eso».
Estados Unidos, que previamente ha denunciado a Rusia o a los grupos criminales con sede allí por operaciones de piratería, no culpó a nadie por el último incidente. Microsoft lo atribuyó al grupo detrás de la campaña SolarWinds, en la que al menos nueve agencias federales y docenas de empresas del sector privado fueron violadas a través de una actualización de software contaminada.
En este caso, los piratas informáticos obtuvieron acceso a una cuenta de marketing por correo electrónico de la Agencia de los Estados Unidos para el Desarrollo Internacional y, haciéndose pasar por el organismo gubernamental, apuntaron a unas 3.000 cuentas de correo electrónico en más de 150 organizaciones diferentes. Al menos una cuarta parte de ellos están involucrados en el desarrollo internacional, trabajo humanitario y de derechos humanos, dijo el vicepresidente de Microsoft, Tom Burt, en una publicación de blog el jueves por la noche.
La compañía no dijo qué parte de los intentos pudieron haber llevado a intrusiones exitosas, pero dijo en una publicación técnica separada del blog que la mayoría fueron bloqueadas por sistemas automatizados que los marcaron como spam. La Casa Blanca dijo que incluso si un correo electrónico eludiera esos sistemas, un usuario aún tendría que hacer clic en el enlace para activar la carga maliciosa.
Burt dijo que la campaña parecía ser una continuación de los múltiples esfuerzos de los piratas informáticos rusos para «apuntar a las agencias gubernamentales involucradas en la política exterior como parte de los esfuerzos de recopilación de inteligencia». Dijo que los objetivos abarcan al menos 24 países.
Por separado, la destacada firma de ciberseguridad FireEye dijo que ha estado rastreando «múltiples oleadas» de spear-phishing relacionados por parte de piratas informáticos de la agencia de inteligencia extranjera SVR de Rusia desde marzo, antes de la campaña de USAID, que utilizó una variedad de señuelos, incluidas notas diplomáticas e invitaciones de embajadas. .
Los piratas informáticos obtuvieron acceso a la cuenta de USAID en Constant Contact, un servicio de marketing por correo electrónico, dijo Microsoft. Los correos electrónicos de phishing de apariencia auténtica con fecha del 25 de mayo pretenden contener nueva información sobre los reclamos de fraude electoral de 2020 e incluyen un enlace a malware que permite a los piratas informáticos «lograr un acceso persistente a las máquinas comprometidas».
Microsoft dijo que la campaña está en curso y se basa en campañas de spear-phishing en aumento que detectó por primera vez en enero.
La portavoz de USAID, Pooja Jhunjhunwala, dijo el viernes que estaba investigando con la ayuda de la Agencia de Seguridad de Infraestructura y Ciberseguridad. La portavoz de Constant Contact, Kristen Andrews, lo calificó como un «incidente aislado».
Si bien la campaña SolarWinds fue sumamente sigilosa y comenzó en 2019 antes de ser detectada en diciembre por FireEye, esta campaña es lo que los investigadores de ciberseguridad llaman ruidosa, es decir, fácil de detectar.
Y aunque “los correos electrónicos de spear phishing se identificaron rápidamente, esperamos que cualquier acción posterior al compromiso por parte de estos actores sea altamente calificada y sigilosa”, dijo el vicepresidente de análisis de FireEye, John Hultquist, en un comunicado el viernes. Dijo que el incidente «es un recordatorio de que el ciberespionaje llegó para quedarse».
Muchos expertos en ciberseguridad no consideraron la operación como una escalada de la agresión rusa en línea.
«Creo que es normal», dijo Jake Williams, presidente de Rendition Infosec y ex pirata informático del gobierno de Estados Unidos. Dijo que es ingenuo pensar que los operadores cibernéticos estadounidenses no están involucrados en operaciones similares dirigidas a adversarios.
Bobby Chesney, profesor de derecho de la Universidad de Texas en Austin especializado en seguridad nacional, dijo que no es tan serio como el hack de SolarWinds. Tampoco se acerca al daño causado por el ataque de ransomware a principios de este mes, por criminales de habla rusa tolerados por el Kremlin, que dejó temporalmente fuera de línea al Oleoducto Colonial.
Chesney dijo que pensaba que estaba mal considerar los ataques de USAID como una respuesta rusa a las sanciones o una señal de que las sanciones eran de alguna manera irresponsables.
«No creo que pruebe nada, de verdad», dijo Chesney. “No es de extrañar en absoluto que el SVR todavía se dedique al espionaje en el dominio cibernético. No creo que hayamos tratado de disuadirlos de hacer esto al por mayor «.
