Los piratas informáticos respaldados por el Kremlin han estado explotando una vulnerabilidad crítica de Microsoft durante cuatro años en ataques dirigidos a una amplia gama de organizaciones con una herramienta previamente no documentada, reveló el fabricante de software el lunes.

Cuando Microsoft parchó la vulnerabilidad en octubre de 2022, al menos dos años después de que fuera atacada por piratas informáticos rusos, la empresa no mencionó que estaba bajo explotación activa. En el momento de su publicación, el aviso de la compañía aún no mencionaba los objetivos en estado salvaje. Los usuarios de Windows frecuentemente priorizan la instalación de parches en función de si es probable que una vulnerabilidad sea explotada en ataques del mundo real.

La explotación de CVE-2022-38028, a medida que se rastrea la vulnerabilidad, permite a los atacantes obtener privilegios del sistema, los más altos disponibles en Windows, cuando se combina con un exploit independiente. Explotar la falla, que tiene una calificación de gravedad de 7,8 sobre 10 posibles, requiere pocos privilegios existentes y poca complejidad. Reside en la cola de impresión de Windows, un componente de administración de impresoras que ha albergado anteriores días cero críticos. Microsoft dijo en ese momento que se enteró de la vulnerabilidad a través de la Agencia de Seguridad Nacional de Estados Unidos.

El lunes, Microsoft reveló que un grupo de piratas informáticos rastreado con el nombre de Forest Blizzard ha estado explotando CVE-2022-38028 desde al menos junio de 2020, y posiblemente desde abril de 2019. El grupo de amenazas, que también está rastreado con nombres que incluyen APT28, Sednit, Sofacy, Unidad 26165 del GRU y Fancy Bear han sido vinculados por los gobiernos de Estados Unidos y el Reino Unido con la Unidad 26165 de la Dirección Principal de Inteligencia, un brazo de inteligencia militar ruso más conocido como GRU. Forest Blizzard se centra en la recopilación de inteligencia mediante el pirateo de una amplia gama de organizaciones, principalmente en Estados Unidos, Europa y Oriente Medio.

Desde abril de 2019, Forest Blizzard ha estado explotando CVE-2022-38028 en ataques que, una vez adquiridos los privilegios del sistema, utilizan una herramienta previamente no documentada que Microsoft llama GooseEgg. El malware posterior a la explotación eleva los privilegios dentro de un sistema comprometido y proporciona una interfaz sencilla para instalar piezas adicionales de malware que también se ejecutan con privilegios del sistema. Este malware adicional, que incluye ladrones de credenciales y herramientas para moverse lateralmente a través de una red comprometida, se puede personalizar para cada objetivo.

“Si bien es una aplicación de inicio simple, GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comando con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecución remota de código, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas. ”, escribieron funcionarios de Microsoft.

GooseEgg generalmente se instala mediante un script por lotes simple, que se ejecuta luego de la explotación exitosa de CVE-2022-38028 u otra vulnerabilidad, como CVE-2023-23397, que según el aviso del lunes también ha sido explotada por Forest Blizzard. El script es responsable de instalar el binario GooseEgg, a menudo llamado Justice.exe o DefragmentSrv.exe, y luego garantiza que se ejecuten cada vez que se reinicia la máquina infectada.

La Agencia de Seguridad Nacional de EE. UU. ha confirmado que los piratas informáticos que explotan fallas en el dispositivo VPN empresarial ampliamente utilizado de Ivanti han apuntado a organizaciones de todo el sector de defensa de EE. UU.

El portavoz de la NSA, Edward Bennett, confirmó en una declaración enviada por correo electrónico a TechCrunch el viernes que la agencia de inteligencia estadounidense, junto con sus homólogos interinstitucionales, está «siguiendo y siendo consciente del amplio impacto de la reciente explotación de los productos Ivanti, incluido el [sic] Sector de defensa estadounidense”.

«El [NSA’s] El Centro de Colaboración en Ciberseguridad continúa trabajando con nuestros socios para detectar y mitigar esta actividad”, añadió el portavoz.

La confirmación de que la NSA está rastreando estos ciberataques se produce días después de que Mandiant informara que presuntos piratas informáticos de espionaje chinos han realizado “intentos masivos” para explotar múltiples vulnerabilidades que afectan a Ivanti Connect Secure, el popular software VPN de acceso remoto utilizado por miles de corporaciones y grandes organizaciones en todo el mundo.

Mandiant dijo a principios de esta semana que los piratas informáticos respaldados por China, rastreados como un grupo de amenazas al que llama UNC5325, se habían dirigido a organizaciones de una variedad de industrias. Esto incluye el sector base industrial de defensa de Estados Unidos, una red mundial de miles de organizaciones del sector privado que proporcionan equipos y servicios al ejército estadounidense, dijo Mandiant, citando hallazgos anteriores de la firma de seguridad Volexity.

En su análisis, Mandiant dijo que UNC5325 demuestra un “conocimiento significativo” del dispositivo Ivanti Connect Secure y ha empleado técnicas de supervivencia (el uso de herramientas y características legítimas que ya se encuentran en el sistema objetivo) para evadir mejor la detección, Mandiant dicho. Los piratas informáticos respaldados por China también han implementado un nuevo malware «en un intento de permanecer integrado en los dispositivos Ivanti, incluso después de restablecimientos de fábrica, actualizaciones del sistema y parches».

Esto se hizo eco en un aviso publicado por la agencia de ciberseguridad estadounidense CISA el jueves, que advirtió que los piratas informáticos que explotan los dispositivos VPN vulnerables de Ivanti pueden mantener la persistencia a nivel de raíz incluso después de realizar restablecimientos de fábrica. La agencia federal de ciberseguridad dijo que sus propias pruebas independientes mostraron que los atacantes exitosos son capaces de engañar a la herramienta Integrity Checker de Ivanti, lo que puede resultar en una «falla al detectar el compromiso».

En respuesta a los hallazgos de CISA, el director de seguridad de la información de campo de Ivanti, Mike Riemer, minimizó los hallazgos de CISA y le dijo a TechCrunch que Ivanti no cree que las pruebas de CISA funcionen en un entorno de cliente real. Riemer agregó que Ivanti «no tiene conocimiento de ningún caso de persistencia exitosa de actores de amenazas luego de la implementación de las actualizaciones de seguridad y restablecimientos de fábrica recomendados por Ivanti».

Aún se desconoce exactamente cuántos clientes de Ivanti se ven afectados por la explotación generalizada de las vulnerabilidades de Connect Secure, que comenzó en enero.

Akamai dijo en un análisis publicado la semana pasada que los piratas informáticos lanzan aproximadamente 250.000 intentos de explotación cada día y se han dirigido a más de 1.000 clientes.

La Agencia de Seguridad Nacional (NSA) admitió haber comprado registros de intermediarios de datos que detallan qué sitios web y aplicaciones utilizan los estadounidenses, reveló el jueves el senador estadounidense Ron Wyden (demócrata por Oregón).

Esta noticia sigue a la presión de Wyden el año pasado que obligó al FBI a admitir que también estaba comprando datos confidenciales de los estadounidenses. Ahora, el senador pide a todas las agencias de inteligencia que «dejen de comprar datos personales de estadounidenses que hayan sido obtenidos ilegalmente por intermediarios de datos».

«El gobierno de Estados Unidos no debería financiar ni legitimar una industria turbia cuyas flagrantes violaciones de la privacidad de los estadounidenses no sólo son poco éticas sino también ilegales», dijo Wyden en una carta a la directora de Inteligencia Nacional (DNI), Avril Haines. “Con ese fin, solicito que se adopte una política según la cual, en el futuro, las» agencias de inteligencia «solo podrán comprar datos sobre estadounidenses que cumplan con el estándar para la venta legal de datos establecido por la FTC».

Wyden sugirió que la comunidad de inteligencia podría estar ayudando a los intermediarios de datos a violar una orden de la FTC que exige que los estadounidenses reciban divulgaciones «claras y visibles» y den su consentimiento informado antes de que sus datos puedan venderse a terceros. En los siete años que Wyden ha estado investigando a los corredores de datos, dijo que no se le ha informado «de ninguna empresa que proporcione tal advertencia a los usuarios antes de recopilar sus datos».

La orden de la FTC se produjo después de llegar a un acuerdo con un corredor de datos llamado X-Mode, que admitió haber vendido datos de ubicación confidenciales sin el consentimiento del usuario e incluso haber vendido datos después de que los usuarios revocaran el consentimiento.

En su carta, Wyden se refirió a esta orden como si la FTC describiera «nuevas reglas», pero eso no es exactamente lo que sucedió. En lugar de emitir reglas, los acuerdos de la FTC a menudo sirven como «derecho consuetudinario», señalando a los mercados qué prácticas violan leyes como la Ley de la FTC.

Según el análisis de la orden de la FTC en su sitio, X-Mode violó la Ley de la FTC al «vender injustamente datos confidenciales, no respetar injustamente las opciones de privacidad de los consumidores, recopilar y utilizar injustamente datos de ubicación de los consumidores, recopilar y utilizar injustamente datos de ubicación de los consumidores». sin verificación del consentimiento, categorizar injustamente a los consumidores basándose en características sensibles con fines de marketing, no revelar engañosamente el uso de datos de ubicación y proporcionar los medios e instrumentos para participar en actos o prácticas engañosas».

La FTC se negó a comentar si la orden también se aplica a las compras de datos por parte de agencias de inteligencia. Al definir «datos de ubicación», la orden de la FTC parece establecer excepciones para cualquier dato recopilado fuera de los EE. UU. y utilizado con «fines de seguridad» o «fines de seguridad nacional realizados por agencias federales u otras entidades federales».

La NSA debe purgar datos, dice Wyden

Los funcionarios de la NSA dijeron a Wyden que la agencia de inteligencia no sólo está comprando datos sobre estadounidenses ubicados en Estados Unidos, sino que también compró metadatos de Internet de los estadounidenses.

Wyden advirtió que el primero «puede revelar información confidencial y privada sobre una persona según el lugar que visita en Internet, incluida la visita a sitios web relacionados con recursos de salud mental, recursos para sobrevivientes de agresión sexual o abuso doméstico, o visitar un proveedor de telesalud que se enfoca sobre anticonceptivos o medicamentos abortivos». Y estos últimos «pueden ser igualmente sensibles».

Para solucionar el problema, Wyden quiere que las comunidades de inteligencia acepten hacer un inventario y luego purgar «rápidamente» los datos que supuestamente recopilaron ilegalmente sobre los estadounidenses sin una orden judicial. Wyden dijo que este proceso ha permitido a agencias como la NSA y el FBI «de hecho» utilizar «su tarjeta de crédito para eludir la Cuarta Enmienda».

Las prácticas de X-Mode, dijo la FTC, probablemente causarían «daños sustanciales a los consumidores que no son compensados ​​por beneficios compensatorios para los consumidores o la competencia y que no son razonablemente evitables por los propios consumidores». El portavoz de Wyden, Keith Chu, dijo a Ars que «los corredores de datos que venden registros de Internet al gobierno parecen participar en una conducta casi idéntica» a X-Mode.

La orden de la FTC también indica «que a los estadounidenses se les debe informar y aceptar que sus datos se vendan a ‘contratistas del gobierno con fines de seguridad nacional’ para que se permita la práctica», dijo Wyden.

El Departamento de Defensa defiende los tratos turbios con los intermediarios de datos

En respuesta a la carta de Wyden a Haines, el subsecretario de Defensa para Inteligencia y Seguridad, Ronald Moultrie, dijo que el Departamento de Defensa (DoD) «se adhiere a altos estándares de protección de la privacidad y las libertades civiles» al comprar datos de ubicación de los estadounidenses. También dijo que «no tenía conocimiento de ningún requisito en la ley u opinión judicial estadounidense» que obligara al Departamento de Defensa a «obtener una orden judicial para adquirir, acceder o utilizar» información disponible comercialmente que «esté igualmente disponible para su compra a extranjeros». adversarios, empresas estadounidenses y personas privadas como lo es para el gobierno de Estados Unidos».

En otra respuesta a Wyden, el líder de la NSA, el general Paul Nakasone, le dijo a Wyden que «la NSA toma medidas para minimizar la recopilación de información de personas estadounidenses» y «continúa adquiriendo sólo los datos más útiles y relevantes para los requisitos de la misión». Eso incluye información disponible comercialmente sobre los estadounidenses «donde un lado de las comunicaciones es una dirección de Protocolo de Internet de EE. UU. y el otro está ubicado en el extranjero», datos que, según Nakasone, son «críticos para proteger la Base Industrial de Defensa de EE. UU.» que sostiene los sistemas de armas militares.

Si bien hasta ahora la FTC ha tomado medidas enérgicas contra algunos intermediarios de datos, Wyden cree que la práctica turbia de vender datos sin el consentimiento informado de los estadounidenses es un problema de «toda la industria» que necesita regulación. En lugar de ser un cliente en este mercado dudoso, las agencias de inteligencia deberían dejar de financiar a empresas supuestamente culpables de lo que la FTC ha descrito como vigilancia «intrusiva» y «sin control» de los estadounidenses, dijo Wyden.

Según Moultrie, el DNI Haines decide qué fuentes de información son «relevantes y apropiadas» para ayudar a los servicios de inteligencia.

Pero Wyden cree que los estadounidenses deberían tener la oportunidad de optar por no dar su consentimiento para una recopilación de datos tan invasiva y secreta. Dijo que al comprar datos de intermediarios turbios, las agencias de inteligencia estadounidenses han ayudado a crear un mundo donde los consumidores no tienen la oportunidad de dar su consentimiento para un seguimiento intrusivo.

«El secreto en torno a las compras de datos se amplificó porque las agencias de inteligencia han tratado de mantener al pueblo estadounidense en la oscuridad», dijo Wyden a Haines.

El nacional de EE. UU. La Agencia de Seguridad Nacional está comprando grandes cantidades de datos de navegación web disponibles comercialmente sobre estadounidenses sin orden judicial, según el director saliente de la agencia.

El director de la NSA, general Paul Nakasone, reveló la práctica en una carta al senador Ron Wyden, un halcón de la privacidad y demócrata de alto rango en el Comité de Inteligencia del Senado. Wyden publicó la carta el jueves.

Nakasone dijo que la NSA compra «varios tipos» de información a intermediarios de datos «para fines de inteligencia extranjera, ciberseguridad y misiones autorizadas», y que algunos de los datos pueden provenir de dispositivos «utilizados fuera -y en ciertos casos, dentro- de los Estados Unidos». Estados Unidos”.

«La NSA compra y utiliza datos de flujo de red disponibles comercialmente relacionados con comunicaciones por Internet totalmente nacionales y comunicaciones por Internet en las que un lado de la comunicación es una dirección de Protocolo de Internet de EE. UU. y el otro está ubicado en el extranjero», dijo Nakasone en la carta.

Los registros de Netflow contienen información sin contenido (también conocida como metadatos) sobre el flujo y el volumen del tráfico de Internet a través de una red, lo que puede revelar de dónde provienen las conexiones de Internet y qué servidores pasaron datos a otros. Los datos de Netflow se pueden utilizar para rastrear el tráfico de actividad de la red a través de VPN y pueden ayudar a identificar servidores y redes utilizados por piratas informáticos malintencionados.

La NSA no dijo a qué proveedores compra registros de Internet disponibles comercialmente.

En una carta de respuesta a la Oficina del Director de Inteligencia Nacional (ODNI), que supervisa la comunidad de inteligencia estadounidense, Wyden dijo que estos metadatos de Internet «pueden ser igualmente sensibles» que los datos de ubicación vendidos por corredores de datos por su capacidad para identificar a los estadounidenses. actividad privada en línea.

“Los registros de navegación web pueden revelar información confidencial y privada sobre una persona en función de dónde accede en Internet, incluida la visita a sitios web relacionados con recursos de salud mental, recursos para sobrevivientes de agresión sexual o abuso doméstico, o visitar un proveedor de telesalud que se centra en el nacimiento. medicamentos de control o abortivos”, dijo Wyden en un comunicado.

Wyden dijo que se enteró de la recopilación de registros nacionales de Internet por parte de la NSA en marzo de 2021, pero no pudo compartir la información públicamente hasta que fue desclasificada. Como miembro del Comité de Inteligencia del Senado, Wyden puede recibir y leer materiales clasificados, pero no puede compartirlos públicamente. La NSA levantó las restricciones después de que Wyden suspendiera el nombramiento del próximo director de la NSA, dijo el senador.

La práctica de la comunidad de inteligencia estadounidense de comprar grandes conjuntos de datos disponibles comercialmente a intermediarios de datos privados, si bien no es nueva, no se reveló públicamente hasta junio de 2023. La ODNI no reveló qué agencias de espionaje estadounidenses estaban comprando los datos, ni dijo si sabía . Según admitió él mismo, la ODNI dijo en ese momento que los datos adquiridos comercialmente “claramente proporcionan valor de inteligencia”, pero “plantean cuestiones importantes relacionadas con la privacidad y las libertades civiles”.

La NSA no es la única agencia del gobierno estadounidense que depende de datos adquiridos comercialmente para la recopilación de inteligencia o investigaciones. Informes anteriores muestran que la Agencia de Inteligencia de Defensa compró acceso a una base de datos comercial que contiene datos de ubicación de estadounidenses en 2021 sin orden judicial. El Servicio de Impuestos Internos también utilizó datos de ubicación que compró a un corredor de datos para identificar a los sospechosos, al igual que el Departamento de Seguridad Nacional para rastrear a los inmigrantes indocumentados, sin orden judicial en ambos casos.

Pero el uso de datos comerciales por parte de la comunidad de inteligencia estadounidense plantea dudas sobre la legalidad de la práctica, en un momento en que la NSA se enfrenta al escrutinio del Congreso por sus poderes de vigilancia legal que están a punto de expirar y a una amonestación indirecta desde dentro del gobierno federal.

En su carta a la ODNI, Wyden citó la reciente acción coercitiva de la Comisión Federal de Comercio contra los corredores de datos como planteando “serias dudas sobre la legalidad” de que las agencias gubernamentales compren el acceso a los datos de los estadounidenses.

A principios de este mes, la FTC prohibió a X-Mode, un prolífico intermediario de datos que compartía los datos de ubicación de los usuarios de aplicaciones de oración musulmana con contratistas militares, vender datos de ubicación de teléfonos y ordenó a la empresa que eliminara los datos que había recopilado. Una semana después, la FTC emprendió una acción similar contra InMarket, otro corredor de datos, diciendo que la compañía no obtuvo el consentimiento explícito de los usuarios antes de recopilar sus datos de ubicación, y prohibió al corredor de datos vender datos de ubicación precisos de los consumidores.

Eso coloca a los departamentos y agencias gubernamentales que utilizan datos obtenidos comercialmente, como la NSA, en un espacio legal gris.

Cuando se contactó por correo electrónico el viernes, la portavoz de la FTC, Juliana Gruenwald Henderson, dijo que el regulador no tenía comentarios sobre el uso de datos comerciales por parte de la NSA.

Las agencias gubernamentales normalmente tienen que obtener una orden judicial antes de obtener datos privados sobre los estadounidenses de un teléfono o una empresa de tecnología. Pero las agencias estadounidenses han eludido este requisito argumentando que no necesitan una orden judicial si la información, como registros de ubicación precisos o datos de flujo de red, está abiertamente a la venta a cualquiera que quiera comprarla, aunque esta teoría legal sigue sin ser probada en los tribunales estadounidenses.

Por su parte, la NSA dijo en su carta a Wyden que “no tenía conocimiento de ningún requisito en la ley u opinión judicial estadounidense”. . . eso [the Department of Defense] obtener una orden judicial para adquirir, acceder o utilizar información, tal como [commercially available information]que está igualmente disponible para su compra por adversarios extranjeros, empresas estadounidenses y personas privadas como lo está por el gobierno de Estados Unidos”.

Wyden pidió a la ODNI que implemente una política que sólo permita a las agencias de espionaje estadounidenses comprar datos sobre estadounidenses que cumplan con el estándar de la FTC para ventas legales de datos; en caso contrario la agencia deberá eliminar los datos. Wyden dijo que si una agencia de espionaje estadounidense tiene una necesidad específica de retener los datos, al menos debería informar al Congreso, si no al público en general.

No está claro si la NSA también compra acceso a bases de datos de ubicación, como lo han hecho otras agencias del gobierno federal.

Nakasone dijo en su carta a Wyden que la NSA no compra ni utiliza datos de ubicación recopilados de teléfonos o vehículos «que se sabe que están ubicados en los Estados Unidos», dejando abierta la interpretación de que la NSA podría adquirir datos disponibles comercialmente si no se supiera que provienen de dispositivos estadounidenses.

Cuando se le contactó por correo electrónico, el portavoz de la NSA, Eddie Bennett, confirmó que la NSA recopila datos de flujo de red de Internet disponibles comercialmente, pero se negó a aclarar o comentar sobre los comentarios de Nakasone.

---

Puede comunicarse con Zack Whittaker por Signal al +1 646.755.8849 o por correo electrónico. También puede compartir archivos y documentos con TechCrunch a través de nuestro SecureDrop.

Allá por enero de 1999, el Washington Post se enteró de lo que declaró ser la infame «Alerta Furby». Ahora se han publicado documentos oficiales que demuestran que la historia era real. Sí, a la NSA realmente le preocupaba que el juguete peludo que repetía todo lo que oía, que estaba de moda a finales de los años 90, estuviera impulsado por un chip de «Inteligencia Artificial» y representara un riesgo para la seguridad. Y sí, se emitió una alerta oficial.

Según informó el medio 404, los documentos oficiales fueron publicados en respuesta a una solicitud de Libertad de Información un tanto especulativa por parte de un usuario X que pasa por el @dakotathecat manejar. Aparentemente, por un aburrido capricho, Dakotathecat decidió intentar solicitar la primera confirmación oficial desde aquel artículo del Washington Post de finales de los 90.

Algunos de los grupos de libertades civiles más grandes de Estados Unidos están instando al líder de la mayoría del Senado, Chuck Schumer, a no buscar una extensión a corto plazo del programa de vigilancia de la Sección 702, cuyo vencimiento está previsto para el 31 de diciembre.

Los más de 20 grupos (entre ellos Demand Progress, el Centro Brennan para la Justicia, la Unión Estadounidense por las Libertades Civiles y Asian Americans Advancing Justice) se oponen a los planes que permitirían que el programa continúe temporalmente modificando la legislación «obligatoria», como la El proyecto de ley necesario ahora para evitar un cierre del gobierno antes del viernes, o la Ley de Autorización de Defensa Nacional, una legislación anual que dictará 886 mil millones de dólares en gastos de seguridad nacional en todo el Pentágono y el Departamento de Energía de EE. UU. en 2024.

“En su forma actual, [Section 702] «Es peligroso para nuestras libertades y nuestra democracia, y no debería renovarse por mucho tiempo sin un debate sólido, una oportunidad para realizar enmiendas y, en última instancia, reformas de gran alcance», dice una carta de los grupos a Schumer. Agrega que cualquier intento de prolongar el programa mediante una enmienda apresurada “demuestraría un descarado desprecio por las libertades y los derechos civiles del pueblo estadounidense”.

La carta, que fue reportada por primera vez por Bloomberg Law, citaba informes de WIRED y CQ Roll Call. Schumer no respondió a una solicitud de comentarios.

Como informó anteriormente WIRED, la vigilancia bajo el programa 702 técnicamente puede continuar durante otros seis meses, independientemente de si el Congreso la reautoriza para fines de diciembre. El programa fue certificado por última vez por el Tribunal de Vigilancia de Inteligencia Extranjera en abril de 2023 por un año completo. Los “procedimientos de transición” codificados en el estatuto permiten que las órdenes de vigilancia “continúen en vigor” hasta que expiren.

El programa 702 es controvertido por su recopilación de comunicaciones de “personas estadounidenses”. El programa se dirige legalmente a aproximadamente un cuarto de millón de extranjeros cada año, recopilando el contenido de sus mensajes de texto, correos electrónicos y llamadas telefónicas, pero colateralmente también intercepta una cantidad desconocida, pero presumiblemente grande, de comunicaciones estadounidenses. Esta interceptación se lleva a cabo con la cooperación obligada de las empresas de telecomunicaciones estadounidenses que manejan el tráfico de Internet en etapas a lo largo de las redes globales.

El programa incluye procedimientos para interceptar, almacenar y consultar la información de manera diseñada para «minimizar» las probabilidades de que se violen los derechos de los estadounidenses, pero las reglas también están sujetas a varias exenciones. Una de las principales críticas al programa 702 es que permite que la Oficina Federal de Investigaciones acceda a las llamadas y correos electrónicos de ciudadanos estadounidenses sin una orden judicial y sin pruebas de que hayan cometido un delito.

Los líderes del Senado de los Estados Unidos han estado discutiendo planes para extender la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) más allá de su fecha límite del 31 de diciembre mediante la modificación de la legislación que debe aprobarse este mes.

Un alto asistente del Congreso le dijo a WIRED que tanto las oficinas de liderazgo como las fuentes judiciales han revelado que se están llevando a cabo discusiones sobre cómo salvar el programa de la Sección 702 en el corto plazo adjuntando una enmienda que lo extienda a un proyecto de ley que es muy necesario para ampliar la financiación federal y evitar un gobierno. cierre dentro de una semana.

El programa, ampliado por última vez en 2018, expirará a finales de año. Sin una votación para reautorizar la 702, el gobierno de Estados Unidos perderá su capacidad de obtener “certificaciones” de un año de duración que obliguen a las empresas de telecomunicaciones a interceptar llamadas, mensajes de texto y correos electrónicos del extranjero sin recibir órdenes judiciales o citaciones individuales.

Ya sea que la autoridad sea reautorizada antes de que expire el 1 de enero o no, es probable que la vigilancia real continúe hasta la primavera, cuando expiren las certificaciones de este año.

Extender el programa adjuntándolo a otro proyecto de ley que el Congreso no puede evitar es una maniobra política arriesgada que causará malestar significativo entre la mayoría de los legisladores de la Cámara y varios senadores que están trabajando para reformar el programa 702. Una de las principales prioridades de los halcones de la privacidad es limitar la capacidad de las autoridades federales de utilizar datos 702 recopilados “incidentalmente” sobre los estadounidenses. El programa 702 recopila comunicaciones de dos fuentes: los proveedores de servicios de Internet y las empresas que realizan tráfico entre ellos. Esta última fuente se escucha con menos frecuencia pero intercepta una mayor cantidad de comunicaciones nacionales.

Un asistente de Jim Jordan, presidente republicano del Comité Judicial de la Cámara de Representantes, dijo que Jordan estaba firmemente del lado de los reformadores y no apoyaría la extensión de la 702 mediante una medida temporal. Chuck Schumer, líder de la mayoría del Senado, no respondió a una solicitud de comentarios el jueves por la tarde.

“La seguridad de Estados Unidos y los derechos de sus ciudadanos exigen más que una solución a corto plazo. El Congreso ha tenido todo el año para examinar y abordar esta cuestión política crucial”, dice James Czerniawski, analista político senior de la organización sin fines de lucro Americans for Prosperity. “Hacer una extensión a corto plazo apunta a las reformas críticas que este programa necesita desesperadamente para proteger las libertades civiles de los estadounidenses”.

Si bien la vigilancia de las llamadas estadounidenses es ilegal e inconstitucional sin una orden judicial basada en una causa probable, el gobierno puede recolectar llamadas nacionales para propósitos específicos de seguridad nacional bajo procedimientos creados para minimizar su acceso a ellas más adelante. La Agencia de Seguridad Nacional de EE.UU., que realiza vigilancia electrónica para el Pentágono, sólo puede escuchar a escondidas a extranjeros que se encuentran en el extranjero. Sin embargo, esos extranjeros, muchos de los cuales probablemente sean funcionarios gubernamentales y no necesariamente criminales o terroristas, frecuentemente intercambian llamadas y correos electrónicos con personas dentro de los Estados Unidos, y esas llamadas también se cobran.

La Agencia de Seguridad Nacional de Estados Unidos a menudo guarda silencio sobre su trabajo e inteligencia. Pero en la conferencia de seguridad Cyberwarcon celebrada en Washington DC el jueves, dos miembros del Centro de Colaboración en Ciberseguridad de la agencia hicieron un “llamado a la acción” para la comunidad de ciberseguridad: tengan cuidado con la amenaza de los piratas informáticos respaldados por el gobierno chino que se incrustan en la infraestructura crítica de Estados Unidos.

Junto con sus homólogos de la alianza de inteligencia “Cinco Ojos”, la NSA ha estado advirtiendo desde mayo que un grupo patrocinado por Beijing conocido como Volt Typhoon ha estado atacando redes de infraestructura críticas, incluidas las redes eléctricas, como parte de su actividad.

Los funcionarios enfatizaron el jueves que los administradores de red y los equipos de seguridad deben estar atentos a actividades sospechosas en las que los piratas informáticos manipulen y hagan mal uso de herramientas legítimas en lugar de malware (un enfoque conocido como “vivir de la tierra”) para llevar a cabo operaciones clandestinas. Agregaron que el gobierno chino también desarrolla novedosas técnicas de intrusión y malware, gracias a una importante reserva de vulnerabilidades de día cero que los piratas informáticos pueden convertir en armas y explotar. Beijing recopila estos errores a través de su propia investigación, así como de una ley que exige la divulgación de vulnerabilidades.

La República Popular China «trabaja para obtener acceso no autorizado a los sistemas y esperar el mejor momento para explotar estas redes», dijo el jueves Morgan Adamski, director del Centro de Colaboración en Ciberseguridad de la NSA. “La amenaza es extremadamente sofisticada y generalizada. No es fácil de encontrar. Se está posicionando previamente con la intención de excavar silenciosamente en redes críticas a largo plazo. El hecho de que estos actores estén en infraestructura crítica es inaceptable y es algo que nos estamos tomando muy en serio, algo que nos preocupa”.

Mark Parsons y Judy Ng de Microsoft dieron una actualización sobre la actividad de Volt Typhoon más tarde ese día en Cyberwarcon. Señalaron que después de aparentemente permanecer inactivo durante la primavera y la mayor parte del verano, el grupo reapareció en agosto con una seguridad operativa mejorada para hacer que su actividad fuera más difícil de rastrear. Volt Typhoon ha seguido atacando universidades y programas del Cuerpo de Entrenamiento de Oficiales de Reserva del Ejército de EE. UU. (un tipo de víctima que el grupo prefiere especialmente), pero también se ha observado que ataca a otras empresas de servicios públicos de EE. UU.

«Creemos que Volt Typhoon está haciendo esto para actividades relacionadas con el espionaje, pero además, creemos que hay un elemento que podrían usarlo para destrucción o interrupción en un momento de necesidad», dijo Ng de Microsoft el jueves.

Adamski y Josh Zaritsky, director de operaciones del Centro de Colaboración de Ciberseguridad de la NSA, instaron a los defensores de la red a administrar y auditar los registros de su sistema para detectar actividades anómalas y almacenar registros de manera que no puedan ser eliminados por un atacante que obtenga acceso al sistema y esté buscando. para ocultar sus huellas.

Los dos también enfatizaron las mejores prácticas, como la autenticación de dos factores y la limitación de los privilegios del sistema de usuarios y administradores para minimizar la posibilidad de que los atacantes puedan comprometer y explotar cuentas en primer lugar. Y enfatizaron que no sólo es necesario parchear las vulnerabilidades del software, sino que también es crucial regresar y verificar los registros y registros para asegurarse de que no haya señales de que el error fue explotado antes de ser parcheado.

“Vamos a necesitar proveedores de servicios de Internet, proveedores de nube, empresas de terminales, empresas de ciberseguridad, fabricantes de dispositivos, todos juntos en esta lucha. Y esta es una lucha por nuestra infraestructura crítica estadounidense”, dijo Adamski. «Los productos, los servicios en los que confiamos, todo lo que importa, por eso es importante».

Un ex empleado de la Agencia de Seguridad Nacional se declaró culpable de intentar enviar secretos de estado por correo electrónico a un agente ruso.

Jareh Sebastian Dalke, de 31 años, de Colorado, trabajó originalmente como diseñador de seguridad de sistemas de información en la oficina de la NSA en Maryland el año pasado. Pero fue descubierto tratando de compartir documentos ultrasecretos con el gobierno ruso durante una operación encubierta del FBI.

Según el Departamento de Justicia, Dalke utilizó una cuenta de correo electrónico cifrada «para transmitir extractos de tres documentos clasificados a un individuo que creía que era un agente ruso». Su objetivo era demostrar su acceso legítimo a los sistemas de la NSA. Pero en realidad, el agente ruso con el que se estaba comunicando era en realidad un agente encubierto del FBI.

“El 26 de agosto de 2022 o alrededor de esa fecha, Dalke solicitó 85.000 dólares a cambio de toda la información que tenía en su poder”, añadió el Departamento de Justicia. «Dalke afirmó que la información sería valiosa para Rusia y le dijo al empleado encubierto en línea del FBI que compartiría más información en el futuro, una vez que regresara al área de Washington, DC».

Mientras estaba en Denver, Colorado, Dalke usó una computadora portátil para transferir cinco archivos más al agente encubierto del FBI. Cuatro de los archivos contenían información confidencial, mientras que el quinto archivo contenía un saludo al gobierno ruso. “Espero nuestra amistad y beneficio compartido. Por favor, avíseme si desea encontrar documentos y lo intentaré cuando regrese a mi oficina principal”, escribió Dalke.

El 28 de septiembre de 2022, el FBI arrestó a Dalke después de que transmitiera archivos adicionales. Desde entonces se declaró culpable, creyendo que los archivos enviados por correo electrónico se habrían utilizado para dañar a Estados Unidos y beneficiar a Rusia. Dalke ahora enfrenta una posible cadena perpetua.

Según el acuerdo de culpabilidad, Dalke sirvió anteriormente en el ejército de EE. UU. y obtuvo una licenciatura en ciberseguridad y garantía de la información. Fue contratado por la NSA, pero renunció tres semanas después después de que la agencia le negara su solicitud de una licencia de nueve meses para ayudar a un miembro de su familia con una condición médica.

Luego, Dalke volvió a postularse para trabajar en la NSA y fue aceptado en un nuevo puesto, que originalmente se suponía que comenzaría el 28 de septiembre de 2022. Durante su comunicación con el oficial encubierto del FBI, Dalke también mencionó que se unió específicamente a la NSA para socavar a los EE. UU. gobierno.

El acuerdo de declaración de culpabilidad señala que Dalke «se postuló para el puesto que ocupaba actualmente porque había ‘cuestionado nuestro papel en el daño al mundo en el pasado y por una mezcla de curiosidad por los secretos y un deseo de provocar un cambio'».

IronNet, una startup de ciberseguridad que alguna vez fue prometedora, fundada por un exdirector de la NSA y financiada por inversionistas cibernéticos y de defensa, cerró y despidió al resto de su personal luego de su colapso.

En una presentación regulatoria publicada el viernes, el presidente y director financiero de IronNet, Cameron Pforr, dijo que la compañía había cesado todas las actividades comerciales mientras se prepara para el Capítulo 7 de bancarrota, liquidando efectivamente los activos restantes de la compañía para pagar sus deudas restantes.

IronNet, con sede en Virginia, fue fundada en 2014 por el general retirado de cuatro estrellas Keith Alexander, poco después de que dejara su cargo de exdirector de la Agencia de Seguridad Nacional durante la mayor filtración (en ese momento) de secretos gubernamentales por parte del excontratista Edward Snowden. IronNet proporcionó a corporaciones y agencias gubernamentales tecnologías destinadas a ayudar a defenderse contra las amenazas cibernéticas y a utilizar grandes conjuntos de datos y análisis para automatizar la inteligencia sobre amenazas. Sus otros productos fueron diseñados para proteger infraestructura crítica.

Hasta la fecha, la compañía recaudó más de 400 millones de dólares en financiación, incluida una Serie B de 78 millones de dólares en 2018 liderada por C5 Capital, con la participación de ForgePoint Capital y Kleiner Perkins, y promocionando clientes como el gigante financiero y de medios Thomson Reuters. IronNet también recibió $5,6 millones en préstamos federales otorgados a pequeñas empresas durante la pandemia de COVID-19.

Pero la empresa no logró ganar terreno después de salir a bolsa en agosto de 2021 y el precio de sus acciones siguió cayendo tras un pico inicial. Al año siguiente, IronNet tenía menos de 100 clientes corporativos. IronNet también recortó el 17% de su fuerza laboral en junio.

Alexander se desempeñó como director ejecutivo de IronNet hasta julio, cuando fue reemplazado por Linda Zecher, presidenta del mayor inversor de IronNet, C5 Capital, como parte del esfuerzo de la firma de inversión para rescatar a la empresa. C5 Capital, que no respondió a una solicitud de comentarios, inyectó más de 1,3 millones de dólares en IronNet el mes pasado para evitar su eventual colapso.

Los inversores de Forgepoint Capital y Kleiner Perkins no respondieron a las solicitudes de comentarios de TechCrunch sobre la quiebra de IronNet. En su presentación del viernes, IronNet dijo que «espera que no haya distribuciones disponibles para los accionistas».

Alexander, que sigue siendo presidente de la junta directiva de IronNet, también forma parte de la junta directiva de SolCyber.