La empresa de seguridad McAfee acaba de divulgar pormenores acerca de ataques cibernéticos subrepticios coordinados y dirigidos -denominados Dragón Nocturno (o "Nigth Dragon", en inglés)- que han sido llevados a cabo contra empresas petrolíferas, de energía y petroquímicas. Se han identificado herramientas, técnicas y actividades de red utilizadas en esos ataques persistentes.
En este momento, McAfee calcula que han sido atacadas unas doce empresas, cinco de las cuales ya lo han confirmado, pero aún no podemos tomarnos la libertad de mencionarlas. Según dicha información los ataques del Dragón Nocturno funcionan por medio de invasiones metódicas y progresivas de la infraestructura objetivo.
Las actividades básicas realizadas por la operación Dragón Nocturno, fueron las siguientes:
- Los servidores de Web de las extranets de las empresas fueron comprometidos mediante técnicas de inyección de SQL, lo que permite la ejecución a distancia de comandos.
- Las herramientas de hackers normalmente disponibles son enviadas a servidores de Web comprometidos, lo que permite que los atacantes invadan la intranet de la empresa y dándoles acceso interno a desktops y servidores confidenciales.
- Usando herramientas de apertura de contraseña y de pass-the-hash, los atacantes consiguen más nombres de usuario y contraseñas, lo que les permite obtener más acceso autenticado a desktops y servidores internos confidenciales.
- Inicialmente usando los servidores Web comprometidos de la empresa como servidores de comando y control (C&C), los atacantes descubrieron que sólo precisaban desactivar las configuraciones de proxy del Microsoft Internet Explorer (IE) para permitir que las computadoras infectadas se comunicasen directamente con Internet.
- Utilizando malware de RAT, pasaron a conectarse con otras máquinas (buscando ejecutivos) y extrayendo archivos de correo electrónico y otros documentos confidenciales.
No hay comentarios:
Publicar un comentario