(CNN) – Piratas informáticos con presuntos vínculos con China han atacado durante meses una herramienta popular de trabajo remoto para irrumpir en agencias gubernamentales, empresas de defensa e instituciones financieras en Estados Unidos y Europa, según un informe de la firma de ciberseguridad FireEye.
El alarmante informe destaca cómo los piratas informáticos se aprovecharon repetidamente de varias fallas conocidas y una vulnerabilidad recién descubierta en Pulse Secure VPN, una herramienta de conectividad remota ampliamente utilizada, para obtener acceso a docenas de organizaciones en el sector industrial de defensa.
Las revelaciones del martes representan la más reciente crisis de ciberseguridad que ha golpeado a EE.UU., luego de la campaña de intrusión a SolarWinds por parte del servicio de inteligencia de Rusia y una serie de ataques a servidores de software que Microsoft ha atribuido a piratas informáticos patrocinados por el estado chino.
El Departamento de Seguridad Nacional de EE.UU. (DHS, por sus siglas en inglés) confirmó las intrusiones en su propio aviso público el martes, instando a los administradores de red a ejecutar una herramienta especial diseñada para buscar signos de intromisión e instalar una solución de emergencia publicada por Ivanti, el propietario de Pulse Secure.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS ordenó el martes a las agencias civiles federales que tomen varias medidas para reducir el riesgo del presunto ataque.
La CISA emitió una “orden de emergencia” instruyendo a todas las agencias civiles federales a determinar cuántas instancias del producto tienen, ejecutar una “herramienta de integridad” para verificar problemas, instalar actualizaciones y enviar un informe a la CISA antes del viernes. Las órdenes de emergencia son raras y se utilizan para incidentes que tienen un alto potencial de comprometer los sistemas de la agencia.
Los atacantes de Pulse Secure son extremadamente sofisticados y utilizaron su acceso para robar credenciales de cuentas y otros datos confidenciales pertenecientes a organizaciones de víctimas, dijo Charles Carmakal, vicepresidente senior de FireEye.
“Estos actores están altamente capacitados y tienen un profundo conocimiento técnico del producto Pulse Secure”, dijo Carmakal.
Algunas de las intrusiones que utilizan las vulnerabilidades comenzaron en agosto del año pasado, según el informe de FireEye. El grupo que lleva a cabo esos ataques puede estar trabajando para el gobierno chino, según el informe, y Carmakal agregó que “hay algunas similitudes entre partes de esta actividad y un actor chino al que llamamos APT5”.
Otros actores también han explotado las vulnerabilidades, aunque FireEye inidcó que no está claro si pueden estar vinculados a un gobierno en particular.
En una publicación de blog, Pulse Secure dijo que la falla recién descubierta afecta a un “número muy limitado de clientes” y que a principios de mayo se publicará una actualización de software más permanente para abordar esa vulnerabilidad. Ya existen parches de software para las otras vulnerabilidades.
“El equipo de Pulse Connect Secure (PCS) está en contacto con un número limitado de clientes que ha experimentado evidencia de comportamiento de explotación en sus dispositivos PCS”, indicó Pulse Secure. “El equipo de PCS ha proporcionado una guía de solución a estos clientes directamente”.
“También se anima a los clientes a aplicar y aprovechar la herramienta Pulse Secure Integrity Checker Tool, eficaz y fácil de usar, para identificar cualquier actividad inusual en su sistema”, agregó PCS.
La CISA precisó que desde el 31 de marzo, ha ayudado a “múltiples entidades” cuyos productos vulnerables han sido atacados por un actor de amenazas cibernéticas.
“La CISA ha trabaajdo en estrecha colaboración con Ivanti, Inc. para comprender mejor la vulnerabilidad en los dispositivos VPN Pulse Secure y mitigar los riesgos potenciales para las redes del sector privado y civil federal”, dijo el martes Nicky Vogt, portavoz de la agencia. “Continuaremos brindando orientación y recomendaciones para apoyar a las organizaciones potencialmente afectadas”.