Plausible Denial
Expedientes

The 2015 OPM Data Breach

2015-06-04

La campaña de intrusión cibernética de 2014-2015 contra la Oficina de Administración de Personal de los Estados Unidos revelada en junio de 2015 y atribuida por el Gobierno de Estados Unidos a actores estatales chinos, posteriormente asociados por analistas con el Ministerio de Seguridad del Estado de la República Popular China que resultó en la exfiltración de aproximadamente 22,1 millones de registros, incluidos los archivos de investigación de antecedentes de autorización de seguridad SF-86 de aproximadamente 21,5 millones de empleados, contratistas y familiares federales actuales y anteriores, y 5,6 millones de juegos de huellas dactilares.

0:00 / 0:00

Lectura en audio de esta entrada.

Los antecedentes

La Oficina de Administración de Personal de los Estados Unidos (OPM) es la agencia de la rama ejecutiva responsable de la administración de recursos humanos del servicio civil federal, incluida la realización de investigaciones de antecedentes sobre los solicitantes de empleo federal y sobre las solicitudes de personal para autorizaciones de seguridad en los niveles Confidencial, Secreto, Top Secret y Sensible Información compartimentada . La OPM realizó investigaciones directas a través de su división de Servicios Federales de Investigación (FIS) y mediante proveedores contratados, principalmente USIS Investigations Services y KeyPoint Government Solutions. Los registros producidos por esas investigaciones Formulario Estándar 86 (Cuestionario para Posiciones de Seguridad Nacional) y el trabajo de investigación de casos de apoyo se mantuvieron en las bases de datos centralizadas de personal e investigación de la OPM.

El formulario SF-86, completado por cada solicitante de una autorización de seguridad federal y actualizado periódicamente a lo largo de la carrera del titular de la autorización, requiere la divulgación de detalles sustanciales de la historia de la vida: direcciones residenciales en los diez años anteriores, historia laboral, historia financiera que incluye deudas y bancarrotas significativas, contactos extranjeros, incluidos miembros de la familia que residen en el extranjero, viajes al exterior, relaciones comerciales y académicas extranjeras, tratamiento de salud mental, consumo de alcohol y drogas, y arresto e historia de contacto con la policía. El Formulario tiene aproximadamente 127 páginas cuando se completa en su totalidad y representa la más detallada revelación de historia de vida requerida por cualquier proceso del Gobierno de los Estados Unidos.

La Operación

Las intrusiones contra OPM se llevaron a cabo en dos fases operativamente distintas. La primera fase iniciada aproximadamente a fines de 2013, con presencia confirmada en las redes de OPM desde aproximadamente noviembre de 2013 hasta abril de 2015 se dirigió contra las bases de datos de registros de personal de la OPM y resultó en la exfiltración / {lexicon/exfiltration} de aproximadamente 4.2 millones de registlos de empleados federales actuales y anteriores, incluidos sus números de seguridad social, fechas de nacimiento e información de salario y posición. La segunda fase operando en redes OPM a lo largo de mayo de 2014 a abril de 2015, fue dirigida contra la base de datos FIS-investigación de antecedentes y dio lugar a la exfiltracion de aproximadamente 21.5 millones de archivos SF-86 (aproximadamente 19.7 millones de solicitantes y 1.8 millones de cónyuges y convivientes), y aproximadamente 5.6 millones de huellas dactilares retenidas como parte del caso. La investigación de las dos intrusions exfiltró aproximadamente 22.1 millones de documentos únicos, con dos conjuntos de registos sustanciales.

El patrón de acceso técnico combinó el acceso inicial a través de credenciales emitidas al contratista USIS que había sido objeto de una intrusión independiente revelada en agosto de 2014 con el posterior movimiento lateral a través del sistema interconectado de OPM para llegar a las bases de datos de investigación de antecedentes de FIS. Los intrusos desplegaron la herramienta de acceso remoto PlugX y la Herramienta Sakula, ambas son familias de software que han sido asociadas por los informes gubernamentales y privados occidentales con conjuntos de intrusión cibernética atribuidos a la República Popular de China. La variante de malware desplegada en la intrusión de la OPM fue rastreada por el gobierno de los Estados Unidos y los informes del sector privado bajo varias designaciones, incluidas "Deep Panda" y "Axiom".[1]

Las intrusiones fueron detectadas por el Equipo de Respuesta a Incidentes Informáticos de OPM en abril de 2015 en el curso de una actualización de herramientas de seguridad que incluía una nueva capacidad de detección de puntos finales. La intrusión en la base de datos FIS fue identificada por separado en el transcurso de la posterior investigación forense, llevada a cabo con el apoyo del equipo de preparación para emergencias informáticas de los Estados Unidos (US-CERT) y la División Cibernética FBI. OPM reveló públicamente la violación de los registros de personal el 4 de junio de 2015 y la infracción de SF-86 el 9 de julio de 2015.

Divulgación

El Gobierno de los Estados Unidos atribuyó las intrusiones de OPM a la República Popular China en etapas sucesivas y con niveles sucesivos de formalidad. El Director de Inteligencia Nacional, James R. Clapper, identificó a China como el principal sospechoso en declaraciones públicas durante junio de 2015. La Oficina Federal de Investigaciones, en documentos judiciales en Estados Unidos contra Yu Pingan (Tribunal de Distrito de los EE.UU. para el Distrito Sur de California, agosto de 2017), acusó al ciudadano chino Yu Pinan de conspiración para cometer piratería informática en relación con introsiones utilizando la familia de malware Sakula también desplegada contra OPM; Yu Pigan se declaró culpable en agosto de 2018 y fue sentenciado en febrero de 2019. Las intrusiões han sido atribuidas en declarações públicas posteriores y reportando a actores estatales chinos posteriormente por analistas asociados con el Ministerio de Seguridad del Estado de la Republica Popular China; los funcionarios del Gobierno chino han rechazado la atribución.1

El Comité de la Cámara de Representantes de los Estados Unidos sobre Supervisión y Reforma Gubernamental, bajo el presidente Jason Chaffetz (R-Utah), llevó a cabo una investigación sostenida sobre la intrusión de OPM a lo largo de 2015 y 2016 y publicó su informe de la mayoría de los empleados, La violación de datos de la OPM: cómo el gobierno puso en peligro nuestra seguridad nacional durante más de una generación, el 7 de septiembre de 2016. La Oficina del Inspector General de laOPM produjo informes paralelos sobre las prácticas de seguridad de la información de la oPM a través del período y sobre la respuesta de la agencia a la violación.

Las consecuencias estratégicas de contrainteligencia de la exfiltración SF-86 son la principal característica sustancial del análisis posterior a la divulgación. Los registros exfiltrados de SF-86, identifican, por nombre y detalle biográfico, fracciones sustanciales de la población de personal despejado de los Estados Unidos, incluidas las personas cuya comunidad de inteligencia o empleo sensible del gobierno está implícito en la existencia de su despeje. El detalle apoya enfoques dirigidos contra individuos nombrados; apoya la identificación de familiares extranjeros sujetos a coerción o reclutamiento en el país de origen del individuo nombrado; y permite la referencia cruzada con otros conjuntos de datos comprometidos para identificar identidades previamente ocultas.

El legado

La violación de OPM de 2015 es la mayor exfiltración de datos de seguridad del personal del gobierno de los Estados Unidos registrada y sigue siendo la referencia canónica para la dimensión estratégica de contrainteligencia de las operaciones cibernéticas a nivel estatal. La estructura de la violación una intrusión en varias fases que combina el compromiso de credenciales del contratista, el movimiento lateral y la exfiltration de datos del historial de vida retenidos intencionalmente se ha replicado sustancialmente en violaciones posteriores contra bases de datos gubernamentales de Estados Unidos y estados asociados. [1]

La respuesta institucional posterior a la violación incluyó el establecimiento, por la Orden Ejecutiva 13708 del 24 de septiembre de 2015, de la Oficina Nacional de Investigaciones de Antecedentes (NBIB) dentro de OPM, con la responsabilidad operativa de las investigaciones federales de antecedentes consolidadas bajo el Director de Inteligencia Nacional. La NBIB fue posteriormente reemplazada por la Agencia de Contrainteligencia y Seguridad de Defensa (DCSA), establecida como la principal agencia federal de investigación de trasfondo bajo el Departamento de defensa en octubre de 2019, con la transferencia de las funciones y el personal de investigaciones de fondo de la NIBB completadas a lo largo de 2019 2020. La reorganización institucional refleja la evaluación más amplia de que los datos de investigación del fondo son una función de contraintelligencia que debe administrarse con las disciplinas de seguridad correspondientes.

La importancia estratégica de la violación para la población de personal despejado de los Estados Unidos persiste. El conjunto de registros SF-86 exfiltrados es presuntamente retenido por el estado chino y por cualquier sucesor o entidad afiliada; los individuos nombrados identificados en los registros permanecen identificados durante su vida y en la vida de sus familiares. A partir de 2015, se ofrecieron a las personas afectadas servicios de monitoreo de robo de identidad y restauración de crédito a través de contratos del gobierno de los EE.UU.; los servicios se han ampliado a intervalos sucesivos, y OPM y las agencias relevantes continúan publicando orientación para las poblaciones afectadas. La evaluación sustancial de daños de contrainteligencia no está disponible públicamente en detalle.

Dossiers y agencias relacionados

Este expediente es contemporáneo con y operacionalmente distinto de el Snowden revelaciones (2013) y el Manning WikiLeaks Revelaciones (2010), y es el gobierno federal-personal-datos análogo a la cadena de suministro de compromiso documentado en SolarWinds (SUNBURST) (SOLARWINDS) (2020) y a la campaña de explotación masiva documentada en HAFNIUM (Microsoft Exchange) (2021). Las entradas a nivel de la agencia más directamente involucrados son la Agencia Central de Inteligencia (CIA) y la Agencia de Seguridad Nacional de los Estados Unidos (NSA) / EE.UU. (USA) / China (China) , aunque la principal razón para la población y el gobierno de Estados Unidos fue el contexto de la Oficina de Gestión de Personal (OPS) en las páginas de la administración del país afectado.

Fuentes y lecturas adicionales

  1. Oficina de Administración de Personal de los Estados Unidos, declaraciones de misiones de la agencia y registros de los Servicios Federales de Investigación; Formulario Estándar 86, "Cuestionario para Posiciones de Seguridad Nacional" (Revisión de diciembre de 2010 y revisiones sucesoras).
  2. 5 CFR Parte 731, regulaciones de idoneidad y acreditación; Orientación de procedimiento de investigación de antecedentes de OPM, ediciones de registros públicos.
    3. >Comité de Supervisión y Reforma del Gobierno de la Cámara de Representantes de los EE.UU., Personal mayoritario,

    Verificación editorial

    Puntuación de confianza: 87% (provisional) · Versión editorial

    Puntuación calculada a partir de la última auditoría más las correcciones posteriores a 46 de 53 afirmaciones fácticas; una reauditoría independiente está pendiente.

    Última auditoría .

    Sobre nuestra metodología de verificación →