La Cruz Roja acusa a piratas informáticos 'patrocinados por gobiernos' de su ciberataque
El reciente ataque cibernético sufrido por el Comité Internacional de la Cruz Roja (CICR), que comprometió los datos de más de 515.000 personas "altamente vulnerables", probablemente fue obra de piratas informáticos patrocinados por gobiernos.
Según ha hecho público este mismo miércoles, el CICR confirma que la intrusión inicial sufrida se remonta al 9 de noviembre de 2021, dos meses antes de que se revelara el ataque el 18 de enero, y explica que su análisis muestra que la intrusión fue un ataque dirigido en sus sistemas “altamente sofisticado”, y no un ataque a los sistemas de terceros contratistas.
Las personas afectadas por el ciberataque incluyen personas desaparecidas y sus familias, detenidos y otras personas que reciben servicios del Movimiento de la Cruz Roja y de la Media Luna Roja como resultado de un conflicto armado, desastres naturales o migración. “No creemos que sea lo mejor para las personas cuyos datos son compartir más detalles sobre quiénes son, dónde están o de dónde vienen” han insistido los responsables de la institución.
El CICR ha asegurado que sabe que el ataque fue dirigido “porque los atacantes crearon un código diseñado únicamente para su ejecución en los servidores del CICR en cuestión”. Según la actualización, el malware utilizado por el atacante fue diseñado para atacar servidores específicos dentro de la infraestructura del CICR.
Los piratas informáticos obtuvieron acceso a la red del CICR al explotar una vulnerabilidad clasificada como crítica conocida, pero sin parches, en una herramienta de inicio de sesión única desarrollada por Zoho, que fabrica servicios de oficina basados en la web. La vulnerabilidad fue objeto de un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) en septiembre, que recibió una puntuación de gravedad CVSS de 9,8 sobre 10.
Según el CICR en su publicación, al explotar este fallo, los piratas informáticos patrocinados por “el estado, y no identificados” colocaron después shells web y llevaron a cabo actividades posteriores a la explotación, como comprometer las credenciales del administrador, moverse por la red y filtrar al exterior archivos de registro y dominio.
“Una vez dentro de nuestra red, los piratas informáticos pudieron implementar herramientas de seguridad ofensivas con los que se disfrazaron de usuarios o administradores legítimos. Esto les permitió acceder a los datos, a pesar de que estaban encriptados”, ha explicado el CICR. La Cruz Roja ha asegurado que no tiene una evidencia concluyente de que los datos robados en el ataque hayan sido publicados o intercambiados, ni se les solicitó un rescate, pero sí ha dicho que se está comunicando con aquellos a cuya información confidencial se pudo haber accedido.
Lo que salió mal con sus defensas
El CICR también aclara que sus herramientas antimalware en los servidores atacados estaban activas en el momento del ciberataque y que pudieron bloquear algunos de los archivos maliciosos utilizados por los ciberdelincuentes, pero que la mayoría de los archivos implementados fueron “diseñados específicamente para eludir” su antimalware.
Estas herramientas, señala el CICR, suelen ser utilizadas por grupos de amenazas persistentes avanzadas (APT) o atacantes respaldados por el estado. No obstante, Cruz Roja ún no ha atribuido formalmente el ataque a ninguna organización en particular. Un informe de Palo Alto Networks de noviembre de 2021 vinculó la explotación de la misma vulnerabilidad a un grupo patrocinado por el estado chino, conocido como APT27.
Según describen en el comunicado, el proceso de aplicación de parches es una actividad extensa para cualquier empresa grande. Anualmente, en Cruz Roja implementan decenas de miles de parches en todos sus sistemas. “La aplicación oportuna de parches críticos es esencial para nuestra seguridad cibernética, pero lamentablemente no aplicamos este parche a tiempo antes de que ocurriera el ataque” han explicado.
Cruz Roja cuenta con un sistema de ciberdefensa de múltiples niveles en el CICR, que incluye monitoreo de puntos finales, software de escaneo y otras herramientas. En este caso, su análisis posterior al ataque reveló que los procesos y herramientas de gestión de vulnerabilidades no detuvieron esa infracción. Según explican, para que no se vuelva a repetir “hemos hecho cambios inmediatos en ambas áreas. Además, estamos acelerando las actividades ya planificadas como parte de nuestro último programa de mejora de la seguridad cibernética lanzado en febrero de 2021, en respuesta a amenazas en constante evolución”.
Como resultado del ataque cibernético, la Cruz Roja dijo que tuvo que recurrir al uso de hojas de cálculo para llevar a cabo su trabajo vital, que incluye reunir a familiares separados por conflictos o desastres, por ejemplo, y que espera que este ataque a los datos de las personas vulnerables sirva como catalizador para el cambio.
Según ha publicado a través de un comunicado Robert Mardini, director general del CICR, “ahora fortaleceremos nuestro compromiso con los actores estatales y no estatales, para exigir explícitamente que la protección de la misión humanitaria del Movimiento de la Cruz Roja y de la Media Luna Roja se extienda a nuestros activos de datos e infraestructura” para lo que espera conseguir, “tener un consenso firme, que creemos es fundamental, en palabras y acciones, de que los datos humanitarios nunca deben ser atacados”.
