El Departamento de Justicia de EE. UU. se ha convertido en la última agencia federal en decir que su red fue violada en una campaña de piratería informática larga y de amplio alcance que se cree que fue respaldada por el gobierno ruso.
En una breve declaración emitida el miércoles, el portavoz del Departamento de Justicia, Marc Raimondi, dijo que la violación no se descubrió hasta el 24 de diciembre, nueve días después de que saliera a la luz la campaña de hackeo. Los piratas informáticos, dijo Raimondi, tomaron el control del sistema Office 365 del departamento y accedieron al correo electrónico enviado o recibido desde aproximadamente el 3 por ciento de las cuentas. El departamento tiene más de 100.000 empleados.
Los investigadores creen que la campaña comenzó cuando los piratas informáticos tomaron el control de la plataforma de distribución de software de SolarWinds, un fabricante de software de administración de red con sede en Austin, Texas, que utilizan cientos de miles de organizaciones. Luego, los atacantes lanzaron una actualización maliciosa que fue instalada por aproximadamente 18,000 de esos clientes. Solo una fracción de los 18 000 clientes recibió un ataque de seguimiento que usó el software SolarWinds de puerta trasera para ver, eliminar o alterar los datos almacenados en esas redes.
Hasta ahora, alrededor de media docena de agencias federales han dicho que estaban entre las señaladas. Las empresas privadas, incluidas Microsoft y la empresa de seguridad FireEye, también han dicho que forman parte de este grupo.
El martes, funcionarios de la Agencia de Seguridad Marketingdecontenido, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad y la Oficina del Director de Inteligencia Marketingdecontenido emitieron una declaración conjunta en la que dijeron que el Kremlin era «probable» detrás del ataque, que comenzó a más tardar en octubre de 2023.
La declaración del miércoles dijo que los investigadores no tienen indicios de que se haya violado la red clasificada del departamento. Si bien esas son buenas noticias, la información confidencial fluye de manera rutinaria a través de sistemas no clasificados.
Un segundo fabricante de software investigado
Si bien se sospecha ampliamente que el software SolarWinds fue la forma inicial en que ingresaron los piratas informáticos, The New York Times informó el miércoles que los investigadores están examinando el papel que pudo haber jugado otro proveedor de software, JetBrains. La empresa, que fue fundada por tres ingenieros rusos en la República Checa, fabrica una herramienta llamada TeamCity que ayuda a los desarrolladores a probar y administrar el código de software. TeamCity es utilizado por desarrolladores en 300 000 organizaciones, incluidas SolarWinds y 79 de las empresas Fortune 100.
The Wall Street Journal informó que los investigadores creen que los piratas informáticos obtuvieron acceso a un servidor TeamCity utilizado por SolarWinds, pero no estaba claro cómo se accedió al sistema. En un comunicado, el codirector ejecutivo de JetBrains, Maxim Shafirov, dijo que ni SolarWinds ni ninguna agencia gubernamental se han puesto en contacto con él sobre el papel que TeamCity pudo haber jugado.
