Se revela el ciberespionaje mundial

Los ataques son evidencia de una creciente motivación política entre los piratas informáticos. 4 de agosto de 2011





Los detalles de una campaña sostenida y altamente organizada de ataques computarizados contra empresas y gobiernos en 14 países fueron revelados ayer por la compañía de seguridad McAfee.

Los ataques se remontan a casi cinco años y variaron en duración de un mes a 28 meses. Afectaron a 32 tipos de organizaciones, incluidas agencias gubernamentales y firmas de defensa, construcción, tecnología de la información y contabilidad.

McAfee cree que los ataques fueron orquestados por un estado-nación, pero no ha nombrado a ese país. Los atacantes robaron información y propiedad intelectual que podrían utilizarse tanto con fines políticos como militares. Con la mayoría de los datos, no sabemos completamente para qué se utilizan, Dmitri Alperovitch , vicepresidente de investigación de amenazas de McAfee, durante una conferencia de prensa el miércoles.



La piratería corporativa se ha convertido en un tema destacado en los últimos meses. Se han dirigido una serie de ataques a empresas como RSA, Lockheed Martin y Sony. Pero Alperovitch dice que los ataques anunciados esta semana — McAfee los llama, colectivamente, Operation Shady RAT (para herramienta de acceso remoto) — han sido menos publicitados, pero son más significativos. En muchos casos, los atacantes utilizaron técnicas sofisticadas y cuidadosamente diseñadas para vencer las defensas de las empresas durante un período de tiempo, un tipo de ataque conocido como amenaza persistente avanzada.

De McAfee reporte dice que la operación involucró una extensa infiltración de 72 víctimas identificables, y algunas otras que la compañía de seguridad no pudo identificar. Parte de la información robada a través de los ataques era lo suficientemente sensible como para tener un impacto significativo en toda la economía de un país, según Alperovitch. Este es realmente el tema crítico por el que debemos estar preocupados, dijo.

McAfee no ha podido discutir públicamente los detalles de la operación hasta ahora debido a los acuerdos de confidencialidad con sus clientes. Esto cambió cuando la compañía descubrió de forma independiente un servidor de comando y control involucrado en los ataques. Alperovitch dijo que la compañía quería mostrar cuán generalizadas y omnipresentes son las amenazas avanzadas persistentes. Incluso nos sorprendió la enorme diversidad de las organizaciones de víctimas y nos sorprendió la audacia de los perpetradores, escribió Alperovitch en una publicación de blog.



Esta semana, Cisco lanzó un reporte que corrobora el de McAfee, lo que sugiere que las amenazas persistentes avanzadas son generalizadas y graves. Si se encuentra en un sector sensible, se convertirá en víctima de una amenaza persistente avanzada, si aún no lo está, dice el investigador de seguridad senior de Cisco. Mary Landesman .

Landesman ve el aumento de este tipo de amenaza como parte de un cambio en el enfoque de los atacantes. Las motivaciones políticas están impulsando cada vez más los ataques.

Para realizar ataques que son muy subrepticios, muy silenciosos y duraderos, dice Landesman, los atacantes utilizan una combinación de automatización y arte. Por lo general, comienzan infectando tantas computadoras como sea posible con malware. Una vez que una computadora está infectada, los atacantes examinan su dirección IP y la información almacenada en ella para determinar si la máquina se encuentra en una ubicación geográfica deseable o si pertenece a una empresa importante.



Las computadoras que se consideran interesantes se colocan bajo la administración de un servidor especial de comando y control orientado a operaciones particularmente importantes. Los datos de la computadora se pueden examinar con más detalle o se pueden utilizar para lanzar un ataque más amplio, desde la computadora de una recepcionista hasta una máquina dentro de la oficina del director general, por ejemplo.

Tanto McAfee como Cisco están de acuerdo en que es difícil defenderse de las amenazas persistentes avanzadas. Las defensas deben ser tan específicas y especializadas como los ataques, dice Landesman. Descubrir una amenaza persistente avanzada no se puede hacer a través de una herramienta pasiva, dice. Las organizaciones deben trazar un mapa del tráfico y el comportamiento normales dentro de sus sistemas, y realizar análisis forenses continuos para reconocer los cambios que podrían ser señales de advertencia.

Alperovitch agregó que si bien muchas de las empresas afectadas por la Operación Shady RAT han tapado los agujeros que estaban filtrando información, es posible que algunas aún no conozcan el alcance del daño causado. Y eso no estará claro hasta que los atacantes comiencen a usar la información que han robado.



esconder