“Tenemos constancia de 24 organismos que utilizan dispositivos Pulse Connect Secure, pero es demasiado pronto para determinar de forma concluyente cuántos han sufrido realmente la explotación de la vulnerabilidad”, declaró el miércoles a la publicación CyberScoop Scott McConnell, portavoz de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras del DHS (Ministerio de Seguridad Interior).
FireEye, la empresa de ciberseguridad que anunció la campaña de hackeo el martes 20, dijo que al menos uno de los dos grupos tenía vínculos con China. Según se indica, los presuntos hackers chinos también tenían como objetivo a los contratistas de defensa que tienen secretos comerciales con el Pentágono.
CyberScoop dice haber revisado los expedientes de diversos organismos y agencias públicas estadounidenses, constatando que varios laboratorios financiados por el gobierno de EE.UU. que realizan investigaciones relacionadas con la seguridad nacional parecen ejecutar el software de red privada virtual Pulse Connect Secure. Entre ellos se encuentra el Sandia National Laboratories del Departamento de Energía, que según relata CyberScoop “recientemente alardeó de que el software Pulse Connect Secure había ayudado a sus empleados a adaptarse al trabajo a distancia durante la pandemia de coronavirus”.
El Laboratorio Nacional de Los Álamos, financiado por el Departamento de Energía, ha ofertado un puesto de trabajo para un miembro del personal de ciberseguridad que apoye a los “más de diez mil empleados, estudiantes y contratistas” de la organización. Trabajar con Pulse Connect Secure aparece como una “cualificación deseada” para el puesto. Un tercer organismo respaldado por el DOE, el Laboratorio Nacional de Energías Renovables (NREL), también anuncia el uso de una VPN de Pulse Connect Secure.
Un portavoz de Sandia no respondió a una solicitud de comentarios de CyberScoop. Un portavoz de Los Álamos remitió las preguntas a la Administración Nacional de Seguridad Nuclear (NNSA), que supervisa el laboratorio. La NNSA tampoco respondió inmediatamente a una solicitud de comentarios.
La explotación de Pulse Connect Secure es la última serie de intrusiones que han sacudido al gobierno de Estados Unidos y al sector privado, después de la supuesta actividad rusa y china que explotó el software fabricado por SolarWinds y Microsoft, respectivamente.
CISA emitió el martes por la noche una instrucción, u orden, de emergencia para que las agencias civiles federales realicen pruebas de seguridad para detectar si han sido vulneradas en el hackeo de Pulse Connect Secure. La CISA rara vez utiliza la autoridad que le confiere la ley para emitir órdenes directas, pero lo ha hecho con más frecuencia en respuesta a los fallos críticos encontrados en el software que se ejecuta en las redes gubernamentales.
Según Ivanti, la empresa con sede en Utah y propietaria de Pulse Connect Secure, hasta el mes que viene no se dispondrá de una solución de seguridad para la vulnerabilidad del software explotada por los Hackers, hasta ahora desconocida.