Actualización: el Departamento de Energía de EE . UU. Ha confirmado que el grupo de piratería detrás del compromiso de SolarWinds también pirateó las redes de la agencia de armas nucleares de EE. UU.
El Departamento de Energía está respondiendo a un incidente cibernético relacionado con el compromiso de SolarWinds en coordinación con nuestros socios federales y de la industria. La investigación está en curso y la respuesta a este incidente está ocurriendo en tiempo real. En este punto, la investigación ha descubierto que el malware se ha aislado solo en las redes comerciales y no ha afectado las funciones de seguridad nacional esenciales para la misión del Departamento, incluida la Administración Nacional de Seguridad Nuclear (NNSA). Cuando el DOE identificó el software vulnerable, se tomaron medidas inmediatas para mitigar el riesgo y todo el software identificado como vulnerable a este ataque se desconectó de la red del DOE. – Shaylyn Hynes, portavoz del DOE
Antecedentes adicionales: Como parte de su respuesta continua, el DOE ha estado en comunicación constante con nuestros socios de la industria, incluido el liderazgo de los Consejos Coordinadores del Subsector del sector energético, y también está en contacto regular con Electricidad, Petróleo y Gas Natural (ONG) y Centros de análisis e intercambio de información (ISAC) Downstream Gas Natural (DNG).
Los piratas informáticos del estado-nación han violado las redes de la Administración Nacional de Seguridad Nuclear (NNSA) y el Departamento de Energía de los Estados Unidos (DOE).
La NNSA es una agencia gubernamental semiautónoma responsable de mantener y asegurar el arsenal de armas nucleares de EE. UU.
La NNSA fue establecida por el Congreso de los Estados Unidos en 2000 y también tiene la tarea de responder a emergencias nucleares y radiológicas dentro de los Estados Unidos y en el extranjero.
Los funcionarios familiarizados con el asunto le dijeron a Politico que los investigadores federales han encontrado evidencia de que los piratas informáticos obtuvieron acceso a las redes del Departamento de Energía de EE. UU. Y la NNSA como parte de la campaña de compromiso en curso del gobierno de EE. UU.
La Comisión Federal de Regulación de Energía (FERC), la Oficina de Transporte Seguro, la Oficina de Campo de Richland del DOE y los laboratorios nacionales de Sandia y Los Alamos fueron todos afectados según el informe.
Los piratas informáticos han centrado principalmente sus esfuerzos en FERC según los funcionarios del DOE, pero no proporcionaron más detalles sobre el incidente.
Compromiso de redes del gobierno de EE. UU. Confirmado oficialmente
Esta serie de ataques ha llevado a la piratería de múltiples redes gubernamentales de EE. UU., Como lo confirmaron oficialmente el FBI, CISA y la ODNI por primera vez en una declaración conjunta emitida hoy.
La lista de objetivos del gobierno de EE. UU. Comprometidos hasta ahora en esta campaña también incluye el Tesoro de EE. UU., El Departamento de Estado de EE. UU., NTIA de EE. UU., NIH de EE. UU., DHS-CISA y el Departamento de Seguridad Nacional de EE. UU.
El grupo detrás de esta campaña de compromiso, presuntamente el APT29 (también conocido como Cozy Bear) patrocinado por el estado ruso, estuvo presente en las redes de organizaciones pirateadas durante largos períodos de tiempo, según una alerta de CISA de hoy.
“CISA ha determinado que esta amenaza representa un grave riesgo para el gobierno federal y los gobiernos estatales, locales, tribales y territoriales, así como para las entidades de infraestructura crítica y otras organizaciones del sector privado”, dijo la agencia.
“CISA espera que eliminar a este actor de amenazas de entornos comprometidos será muy complejo y desafiante para las organizaciones”.
Más agencias gubernamentales en riesgo
La puerta trasera utilizada en estos ataques, rastreada como Solarigate o Sunburst, se distribuyó a través del mecanismo de actualización automática de SolarWinds en los sistemas de aproximadamente 18.000 clientes.
La lista de clientes de SolarWinds [1, 2] incluye más de 425 empresas estadounidenses Fortune 500, las diez principales empresas de telecomunicaciones de EE. UU., Así como varias agencias gubernamentales, incluidas las Fuerzas Armadas de EE. UU., El Pentágono de EE. UU., El Departamento de Justicia de EE. UU., El Departamento de Estado, NASA, NSA, Postal Service, NOAA y la Oficina del Presidente de los Estados Unidos.
Sin embargo, CISA también dijo que tiene “evidencia de vectores de acceso inicial adicionales, además de la plataforma SolarWinds Orion; sin embargo, estos todavía están siendo investigados”.
CISA también ha emitido una Directiva de emergencia luego de una serie de hackeos confirmados del gobierno de EE. UU. Que solicitan a las agencias civiles federales que desconecten o apaguen inmediatamente los productos SolarWinds Orion afectados en sus redes.
Además, desde que se descubrió la campaña, Microsoft, FireEye y GoDaddy crearon un interruptor de interrupción para la puerta trasera SolarWinds Sunburst que terminará la infección en las redes de las víctimas.
