En un informe detallado, "Global Energy Cyberattacks: 'Night Dragon'" (PDF) los investigadores de McAfee dicen que los ataques se detectaron por primera vez en Noviembre de 2009 y podrían involucrar a "muchos actores". El proveedor de seguridad estima que los ataques podrían haber estado sucediendo desde hace tanto como cuatro años.
"Ataques dirigidos y bien coordinados tales como Night Dragon, orquestados por un creciente grupo de atacantes maliciosos comprometidos con sus blancos, están creciendo rápidamente," dice McAfee en su informe. "Estos blancos ahora han avanzado más allá de la base industrial de defensa, de computadoras militares y gubernamentales para incluir blancos corporativos y comerciales mundiales."
El sector de la energía ha sido por mucho tiempo blanco del ciber-espionaje. El año pasado McAfee y el Centro para Estudios Estratégicos e Internacionales (CSIS) publicaron un informe que destacaba serias fallas en la seguridad informática en instalaciones de infraestructura crítica, incluyendo refinerías de petróleo y plantas químicas y eléctricas. El informe incluyó el resultado de una encuesta a 600 ejecutivos de seguridad y de TI de empresas de infraestructuras críticas. Los sectores del petróleo y el gas reportaron las tasas más altas de infiltraciones silenciosas (71%), contra el 54% del general de los encuestados, con más de una tercera parte que informaron sobre múltiples infiltraciones cada mes. La industria del petróleo y el gas también tuvo los indices más elevados de extorsión.
Es su informe del Night Dragon, McAfee dice que ha identificado a un individuo que proveyó de la infraestructura de comando y control (C&C) para los atacantes. Originando desde distintas ubicaciones en China, los atacantes usaron los servidores de comando y control ubicados en servicios alojamiento de los EEUU ta también en servidores comprometidos de Holanda para cometer sus ataques.
Adicionalmente a las compañias, los atacantes tambíén apuntaron a "individuos y ejecutivos de Kzajistán, Taiwan, Grecia y los EEUU para apoderarse de información privada y altamente confidencial," dijo McAfee.
McAfee dice que los métodos de los ataques fueron relativamente poco sofisticados y parecen ser "las técnicas de administración estándar, usando credenciales administrativas estándar. "Usando herramientas automatizadas, los atacantes primero usaron ataques de inyección SQL para comprometer los servidores web de las firmas de energía. Desde allí, los hackers consiguieron acceso a la Intranet de las firmas donde usaron software para romper contraseñas y así eludir la autenticación instalada en equipos e escritorio y servidores sensibles, dijo McAfee.
"Esto es por lo que principalmente son capaces de evadir la detección del software de seguridad estándar y las políticas de red," dice McAfee. "Usando el malware [herramienta de administración remota], procedieron a conectarse a otras máquinas (lo ejecutivos blanco) e infiltrarse en archivos de correo electrónico y otros documentos sensibles," dice McAfee. El blanco fueron las laptops de trabajadores móviles para comprometer las cuentas VPN corporativas.
McAfee publicó una herramienta de detección de la vulnerabilidad Night Dragon para comprobar si los sistemas son vulnerables a los tipos de métodos usados por los atacantes.
"Archivos de interés enfocados en sistemas operacionales de campos de petróleo y gas, y documentos financieros relacionados con exploración de campo y pujas fueron luego copiados de los equipos comprometidos o mediante servidores de extranet," dijo McAfee. "En algunos casos, los archivos fueron copiados y descargados por los atacantes desde los servidores web. En ciertos casos, los atacantes recolectaron información de sistemas SCADA."
Traducción: Raúl Batista - Segu-Info
Fuente: SearchSecurity.com
