Correo vigilado durante 3,5 meses: nuevos documentos revelan hasta qué punto los atacantes de SolarWinds penetraron en el Departamento del Tesoro de EE. UU.
El ciberataque a SolarWinds resultó más grave de lo que reconocieron las autoridades de EE. UU.
Los hackers que estuvieron detrás del ataque a SolarWinds pudieron leer con libertad el correo del Departamento del Tesoro de Estados Unidos. Nuevos documentos muestran que la situación para las autoridades estadounidenses fue aún peor de lo que se pensaba antes. Según Bloomberg, los detalles se conocieron tras una demanda en virtud de la ley de libertad de información. Como resultado, las autoridades publicaron una versión redactada del informe del Inspector General del Departamento del Tesoro.
El ataque a SolarWinds ocurrió en 2020. Los atacantes comprometieron la empresa cuyo software era utilizado por muchas organizaciones grandes, incluidas entidades gubernamentales de Estados Unidos. A través de la plataforma Orion difundieron herramientas maliciosas entre los clientes de SolarWinds y obtuvieron acceso a redes internas.
Antes se sabía que los atacantes permanecieron dentro de los sistemas comprometidos alrededor de nueve meses. Los nuevos documentos revelan parte del panorama durante un período de cuatro meses. Según el informe, el 6 de julio de 2020 los hackers obtuvieron acceso a la cuenta de administrador de más alto nivel en el sistema SolarWinds que utilizaba el Departamento del Tesoro de Estados Unidos.
Después de eso, los atacantes modificaron la aplicación Secure Mail. Esto pudo haber abierto el acceso a todas las direcciones de correo en el dominio treasury.gov. En otras palabras, la correspondencia oficial del personal del departamento quedó en riesgo.
El acceso al sistema de correo, según el informe, se mantuvo hasta el 12 de octubre de 2020. Ese día el Departamento del Tesoro modificó el funcionamiento del sistema y los hackers, según los documentos, perdieron el acceso. No obstante, el informe no ofrece una respuesta precisa sobre qué mensajes revisaron los atacantes ni si lograron robar algo.
El usuario de la cuenta de administrador comprometida declaró que no sabe qué mensajes concretos pudieron verse afectados. Por eso, incluso años después del ataque SolarWinds, las autoridades estadounidenses no pueden explicar públicamente qué daños se causaron en una de las intrusiones más sonadas en las redes de las entidades gubernamentales de Estados Unidos.