Informe SOBRE amenazas de 2014 Trends ® Más allá de un fallo de seguridad Índice Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Daños colaterales: el Ejército Electrónico Sirio se hace literal­mente con todos los titulares. . . . . . . . . . . . . . . . . . . . . . . . 4 Actividad con base en Irán. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Crédito convertido en efectivo. . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Robo de datos: se llevan hasta el gato. . . . . . . . . . . . . . . . . . . . . 15 Un año después del informe sobre el grupo APT1: ¿qué ha cambiado? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Conclusión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Notas finales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Acerca de Mandiant® . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Acerca de FireEye™. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 © 2014 Mandiant, A FireEye Company. Reservados todos los derechos. Introducción La ciberseguridad se ha convertido en algo convencional. Es increíble lo rápido que ha pasado de ser un problema específico de los entornos de TI a ser un problema del consumidor y un asunto prioritario en las salas de juntas. Todo el mundo es consciente de lo que los expertos en seguridad ya sabían desde hace mucho tiempo: la seguridad perfecta no existe. Los fallos de seguridad son inevitables, porque los responsables de las amenazas que se lo proponen siempre encuentran un modo de abrirse camino por las brechas. A lo largo del año pasado, Mandiant observó cómo muchas empresas mejoraron modestamente su capacidad de combatir las brechas de seguridad. Un hecho esperanzador es que muchas organizaciones están detectando los ataques de forma más rápida. En 2013, el número medio de días que los agresores estuvieron presentes en la red de una víctima hasta ser descubiertos fue de 229, en comparación con los 243 registrados en 2012. Sin embargo, las organizaciones aún tienen dificultades para detectar cuándo han sufrido una intrusión. En 2013, solo el 33 % de las organizaciones a las que Mandiant prestó sus servicios se había percatado de la intrusión, frente a un 37 % en 2012. No obstante, hay un aspecto que ha cambiado radicalmente: la disposición de las empresas atacadas y los responsables políticos a hablar más abiertamente sobre los fallos de seguridad a los que se enfrentan. The New York Times y otros medios han publicado relatos sobre sus propios incidentes. El presidente Obama abordó la cuestión de las ciberamenazas en su discurso anual del Estado de la Nación. A esto se suma la proliferación de las intrusiones a gran escala en el comercio minorista; es raro aquel que no ha sufrido las consecuencias de un fallo de seguridad, ya sea por el robo de los datos de su tarjeta de crédito o de las credenciales de un sitio web comercial. www.mandiant.com En el informe M-Trends de este año, le ofrecemos la perspectiva de Mandiant sobre la evolución de las amenazas. Nuestros análisis y datos provienen directamente de nuestra experiencia al responder a los incidentes de seguridad de cientos de clientes en más de 30 sectores distintos. Además, realizamos un seguimiento de una amplia variedad de agresores e indicadores sometidos a debate público, y ponemos en contexto nuestro análisis en los casos pertinentes. Hay un hecho meridianamente claro: la lista de posibles objetivos ha aumentado y la cancha de juego es mayor. Los autores de ciberamenazas están ampliando las finalidades de las intrusiones en las redes informáticas para cumplir una serie de objetivos, tanto en materia de economía como de política. No están interesados únicamente en apoderarse de las joyas de la corona de las empresas, sino también en encontrar modos de hacer campaña de su ideología, causar daños físicos e influir en las decisiones políticas globales. Cada vez más, las empresas privadas se incluyen entre los daños colaterales de los conflictos políticos. Dado que no parece haber una solución diplomática a la vista, la capacidad de detectar y combatir los ataques ha cobrado más importancia que nunca. 1 LAS VÍCTIMAS EN CIFRAS Los responsables de las ciberamenazas siguen atacando a una amplia variedad de sectores. Aunque las organizaciones detectan los ataques dos semanas antes que hace un año, es menor la probabilidad de lo hagan por sí mismas. Sectores objetivo de los ciberdelincuentes En 2013, Mandiant observó un aumento de la actividad de los ciberdelincuentes en dos sectores claves. Servicios financieros hasta el 15 % desde el 11 % Otros 23 % Medios de comunicación y entretenimiento Educación hasta el 13 % desde el 7 % 3% Servicios jurídicos 3% Transporte 3% Fabricación Productos farmacéuticos y biotecnología 10 % 4% Telecomunicaciones Industria aeroespacial y defensa 4% 6% Fabricación de productos químicos 4% Servicios empresariales Construcción 4% Comercio minorista 4% 4% 2 Mandiant M-Trends Más allá de un fallo de seguridad ® Cómo se detectan los ataques El 33 % Tiempo desde la primera prueba de amenaza hasta el descubrimiento del ataque de las víctimas descubren el ataque internamente Se ha reducido, comparado con el 37 % de 2012 El 67 % de las víctimas fueron informadas por una entidad externa 229 días de media de presencia de los grupos de amenazas en la red de una víctima antes de la detección 14 días menos que en 2012 Presencia más larga: 2287 días Tendencias del correo electrónico de phishing El 44 % Lun Mar de los mensajes de phishing observados estaban relacionados con TI y a menudo intentaban suplantar el departamento de TI de la empresa atacada El 93 % de los mensajes de correo electrónico de phishing se enviaron durante días laborables Miér Jue Vie Sáb Dom Análisis del panorama de las ciberamenazas Objetivo Ejemplo Molestias Robo de datos Ciber­ delincuencia Hacktivismo Ataques a la red Acceso y propagación Ventaja económica o política Beneficio económico Difamación, publicidad y activismo político Escalación y destrucción Redes de bots y spam Robo de la propiedad intelectual Robo de tarjetas de crédito Manipulación de sitios web Destrucción de infraestructura crítica Automatizado Persistente Oportunista Notorio Conflictivo Selectivo Carácter www.mandiant.com 3 Daños colaterales: el ejército electrónico sirio se hace literal­ mente con todos los titulares A lo largo del año pasado, diversos conflictos políticos internacionales originaron ciberataques que afectaron al sector privado. Mandiant respondió a un creciente número de incidentes en los que el Ejército Electrónico Sirio (SEA, por sus siglas en inglés) consiguió acceder a sitios web externos y a cuentas de redes sociales de diversas organizaciones con el fin principal de hacer campaña de su causa política. Según las observaciones que Mandiant ha realizado de la actividad del SEA a lo largo de 2013, el grupo utilizó dos tácticas para obtener acceso a sus empresas objetivo: enviar mensajes de correo electrónico de phishing desde cuentas internas y, a partir de agosto de 2013, atacar a diversos proveedores de servicios para dañar a sus víctimas a través de ellos. Mandiant cree que el SEA continuará realizando intrusiones contra sus blancos de peso con el fin de incrementar la publicidad del régimen sirio y mostrar su apoyo a su criticado presidente, Bachar el Asad. Aunque estas intrusiones del SEA no han pasado de la manipulación de algunos sitios web para incluir el logotipo del SEA e imágenes de Asad, es evidente que han conseguido llamar la atención a nivel internacional. Y, lo que es más significativo, han logrado aumentar el miedo a los ciberataques entre los gobiernos y las empresas. 4 Mandiant M-Trends Más allá de un fallo de seguridad ® ¿Qué es el SEA y cuáles son sus motivaciones? El presidente sirio Bachar el Asad dedicó la mayor parte de 2013 a luchar por mantener el control del país. Mientras tanto, el Ejército Electrónico Sirio (SEA, por sus siglas en inglés), un grupo hacktivista relacionado con el régimen, libró una campaña online en paralelo contra los detractores de Asad. Desde su aparición en 2011, el SEA ha conseguido infiltrarse en más de 40 organizaciones, principalmente los sitios web y las cuentas de las redes sociales de destacadas agencias informativas occidentales. La finalidad de la ciberactividad del SEA parece ser dar publicidad y obtener apoyo para el asediado presidente atacando a los supuestos opositores del régimen y manipulando sus sitios web. El SEA ha dirigido sus ataques principalmente a medios informativos occidentales, en algunos casos por publicar artículos que, según el SEA, eran tendenciosos e iban en contra del controvertido líder. El SEA ganó fuerza a lo largo de 2013, debido al mayor número de intrusiones y ataques altamente visibles contra las empresas objetivo. Las intrusiones del SEA analizadas públicamente pusieron de manifiesto cómo utilizó el grupo mensajes de correo electrónico de phishing para recopilar credenciales de inicio de sesión válidas y acceder a las redes seleccionadas. Aunque las agencias informativas occidentales siguen siendo el blanco principal del SEA, en agosto de 2013 se produjo un claro cambio en la táctica de este grupo, que comenzó a atacar a más proveedores de servicios, incluidos SocialFlow, Outbrain, Melbourne IT y el Registro de Dominios de Qatar. En la intrusión efectuada en octubre en el Registro de Dominios de Qatar, el SEA se introdujo en sitios gubernamentales y frecuentados de Qatar, incluidos Al Jazeera y el Ministerio de Asuntos Exteriores. El SEA ha seguido utilizando mensajes de correo electrónico de phishing como método de intrusión inicial. CASO PRÁCTICO: EL SEA ATACA UNA AGENCIA DE NOTICIAS En 2013, el SEA manipuló el sitio web público de una agencia de noticias y publicó mensajes desde las cuentas de Twitter de esta dejando claro que "el Ejército Electrónico Sirio había estado allí". El SEA ejecutó una campaña rapidísima de phishing que permitió al grupo acceder a las cuentas de correo electrónico de diversos empleados, a un sistema de gestión de contenidos y a la cuenta de Twitter de la empresa. Los mensajes de correo electrónico de phishing contenían un enlace a un sitio web que se hacía pasar por la página de inicio de sesión del correo electrónico externo de la agencia de noticias. El sitio web recopiló las credenciales de empleados desprevenidos que introdujeron sus datos de inicio de sesión. Los mensajes de correo electrónico de phishing del SEA eran breves y contenían cebos informativos con URL visibles de supuestas noticias. Las URL ocultaban enlaces incrustados que se dirigían a sitios maliciosos. Los temas coincidían con las últimas www.mandiant.com noticias acontecidas ese mismo día. Esta técnica se aplicó de forma sistemática en todos los mensajes de correo electrónico de phishing. Después de la campaña inicial de phishing, el SEA utilizó las credenciales robadas para acceder al sistema de correo electrónico externo de la agencia de noticias, que no requería autenticación de dos factores. Con estas cuentas en su poder, el SEA inició una segunda campaña de phishing dirigida en un principio a listas de distribución de correo electrónico específicas. Su meta era obtener las credenciales de las cuentas de usuario que habían accedido al sistema de gestión de contenidos del sitio principal y a la cuenta de Twitter de la empresa. Finalmente, el SEA envió miles de mensajes de correo electrónico de phishing a un elevado número de empleados en un periodo de tres horas. A pesar de tener un éxito de solo el 0,04 %, los mensajes de correo electrónico de phishing permitieron al SEA recopilar las credenciales necesarias para acceder a los recursos que le interesaban. 5 Figura 1: Cronología del ataque del SEA a una agencia de noticias DÍA 1 Ataque de phishing selectivo inicial El SEA ataca inicialmente a una agencia de noticias con mensajes de correo electrónico de phishing. DÍA 2 22 min después 31 min después 3 horas después 4 horas después 26 horas después Los autores de amenazas del SEA inician una sesión en cuentas de correo web con las credenciales robadas de los empleados. El SEA envía una segunda tanda de mensajes desde las cuentas de correo electrónico internas. El SEA utiliza credenciales válidas obtenidas a partir de su campaña de phishing para acceder a la red de la agencia de noticias y para autenticarse en el sistema de gestión de contenidos. El SEA manipula el sitio web público de la agencia de noticias y publica artículos y tweets no autorizados desde los sitios web y la cuenta de Twitter de la agencia. La agencia de noticias restablece las contraseñas de la red y consigue bloquear los 25 intentos del SEA de volver a acceder. A las dos horas del primer mensaje de phishing, el SEA obtuvo las credenciales del sitio web principal de la agencia de noticias. 6 DÍA 3 A las dos horas del primer mensaje de phishing, el SEA obtuvo las credenciales del sitio web principal de la agencia de noticias. Los usuarios se autenticaban en la empresa por medio de su infraestructura LDAP. Utilizando las credenciales comprometidas, el SEA aprovechó esta configuración para autenticarse directamente en el sistema de gestión de contenidos, que era externo. A partir de aquí, pudo manipular los artículos publicados. Con tres horas de intrusión, el SEA había obtenido acceso a una cuenta de correo electrónico de marketing asociada a la cuenta de Twitter de la empresa. Sin embargo, la contraseña de la cuenta de Twitter no coincidía con ninguna de las cuentas interceptadas del sistema de gestión de contenidos. Para superar este obstáculo, el SEA hizo uso de la cuenta de correo electrónico de marketing para cambiar la contraseña de Twitter de la agencia. Cuando se produjo el ataque, Twitter no contaba con autenticación de dos factores. Con las nuevas contraseñas de Twitter, el agresor solo tuvo que iniciar sesión en Twitter para empezar a enviar tweets no autorizados. Mandiant M-Trends Más allá de un fallo de seguridad ® FIGURA 2: Mensajes de correo electrónico de phishing utilizados por el SEA Cronología de un ataque Tras investigar el incidente, Mandiant averiguó que los responsables de las amenazas del SEA no habían intentado acceder a la red subyacente de la agencia de noticias. No obstante, el grupo sí que realizó al menos 25 intentos fallidos de autenticarse en la instancia de correo electrónico externo con credenciales de usuario válidas dos días después de la primera intrusión. Para entonces, la empresa ya había cambiado las credenciales de todas las cuentas de usuario interceptadas. Por el nivel de actividad de las cuentas y los tiempos, Mandiant cree que la intrusión la llevaron a cabo uno o dos agentes del SEA. CONCLUSIÓN De aquí en adelante, las organizaciones deben ser conscientes de que pueden pasar a formar parte de los daños colaterales de los conflictos políticos, entre los en los que se produzcan ciberataques. www.mandiant.com 7 Actividad con base en Irán La mayoría de estos agresores establecidos supuestamente en Irán se centraron en el sector energético. También han atacado las redes de diversos organismos gubernamentales de Estados Unidos. Los responsables de amenazas establecidos en Irán también se hicieron más activos a lo largo del año pasado. Aunque Irán se ha considerado durante mucho tiempo un agresor de segundo nivel tras China y Rusia, recientes especulaciones barajan el interés de Irán por perpetrar ataques ofensivos contra las redes de objetivos con infraestructuras críticas1. Se sospecha firmemente que Irán está detrás de las infecciones de malware de agosto de 2012 dirigidas a las redes de dos empresas del sector energético: Saudi Aramco y RasGas en Qatar. Los analistas del sector sugirieron que el gobierno iraní auspició el ataque después de que unas instalaciones nucleares iraníes se infectasen con el virus Stuxnet que, según la opinión generalizada, fue obra de Estados Unidos e Israel. En una publicación online, el grupo Izz ad-Din al-Qassam reivindicó la autoría de dos ataques de denegación de servicio distribuido (DDoS) en 2012 contra bancos estadounidenses como represalia por un vídeo antiislamista creado por un ciudadano de EE. UU.2. Tras los ataques, altos cargos del país en materia de defensa declararon que sospechaban que el grupo operaba fuera de Irán3, 4. No hemos observado directamente a estos responsables de amenazas establecidos en Irán destruir o degradar las redes de nuestros clientes. Sin embargo, Mandiant ha investigado diversos incidentes que, sospechamos, eran actividades de reconocimiento de redes con base en Irán. La mayor parte de estos 8 Mandiant M-Trends Más allá de un fallo de seguridad ® incidentes estaban dirigidos al sector energético, aunque también hemos comprobado que estos creadores de amenazas tienen entre sus objetivos las redes de varios organismos gubernamentales de Estados Unidos. Responsables de amenazas supuestamente establecidos en Irán atacan a un organismo del gobierno estadounidense Los empleados de un organismo del gobierno estatal hallaron pruebas de que alguien había accedido a diversos sistemas de su red sin autorización. Tras una investigación interna del departamento de TI, se encontraron indicios de robo de datos y de usos no autorizados de credenciales con privilegios. La investigación de Mandiant sobre la respuesta al incidente reveló que el responsable de la amenaza: »» Mantuvo un acceso administrativo de carácter local. »» Infectó una cuarta parte de los sistemas con malware. »» Transfirió más de 150 gigabytes de datos, entre los que se incluían diagramas de la red, contraseñas de usuario y datos de las cuentas de los administradores del sistema y la red (información que coincidía con el reconocimiento de redes). En las investigaciones que hemos realizado en Mandiant sobre la actividad supuestamente radicada en Irán, hemos observado los siguientes detalles lingüísticos y técnicos: »» Uso en un entorno cliente de una herramienta de denegación de servicio distribuido (DDoS) utilizada anteriormente en 2012 en ataques contra instituciones bancarias estadounidenses atribuidos de forma generalizada a ciberdelincuentes establecidos en Irán »» Uso de shells web en los que los términos de comandos en inglés se habían traducido al persa »» Visitas a foros de hackers y blogs en persa al mismo tiempo que se llevaban a cabo intrusiones desde numerosas direcciones IP de procedencia no iraní »» Múltiples personas que identificaban su ubicación en Teherán y parecían crear activamente exploits que habíamos observado en intrusiones a las redes de nuestros clientes www.mandiant.com Las observaciones de Mandiant en torno a los supuestos ejecutores iraníes no ponen de manifiesto ningún indicio de que posean las herramientas y la capacidad propias de los autores de ciberamenazas de amplio espectro bien preparados. Utilizan herramientas de dominio público y aprovechan únicamente vulnerabilidades basadas en la Web, restricciones que sugieren que tienen una capacidad relativamente limitada. Entre los hechos indicativos de esta capacidad limitada se incluyen los siguientes: »» Utilizan únicamente un grupo reducido de herramientas a la venta y unas cuantas herramientas personalizadas compiladas a partir de código incluido en otros exploits de acceso público. Un agresor más competente utilizaría herramientas personalizadas más efectivas, como un exploit desconocido o con código personalizado. »» Utilizan sus direcciones IP y dominios maliciosos durante un año como mínimo, aunque el hecho de que se conozcan públicamente entorpece el éxito de sus metas. Este comportamiento indica que no cuentan con los incentivos o los recursos necesarios para cambiar la infraestructura. »» No suelen esconder las pruebas de su actividad, utilizar técnicas que no generen pruebas forenses ni volver al entorno atacado después de que la víctima haya solucionado los fallos de los sistemas comprometidos. Por eso, las víctimas han podido detectar la intrusión. »» Sacan provecho principalmente de las vulnerabilidades de sitios web externos, en general mediante una o dos herramientas de dominio público diseñadas para sacar partido de vulnerabilidades temporales. Hasta la fecha, Mandiant ha observado que estos autores de amenazas solo atacan redes vulnerables a herramientas de acceso público. Ha comprobado que no insisten en un objetivo si no consiguen acceder a su red, lo que sugiere que no han sido capaces de adaptarse al entorno del objetivo. El robo de datos de estos ciberdelincuentes no respondía a una meta tangible ni a un propósito probado, lo que nos hace creer que la finalidad de la misión era probablemente el reconocimiento de las redes del objetivo en cuestión. 9 Figura 3: Observaciones de Mandiant sobre la actividad de amenazas de grupos supuestamente establecidos en Irán frente a grupos establecidos en China Establecidos en Irán Establecidos en China 2 Sector energético y organismos estatales 33 Mayoría de sectores industriales Limitada y basada en las vulnerabilidades Diversa y con independencia de las vulnerabilidades Herramientas de acceso público Herramientas de acceso público especialmente creadas y personalizadas Fecha de las observaciones iniciales de Mandiant 2012 Al menos desde 2006 Detección por parte de la víctima 75 % 33 % 28 días 243 días No se ha observado En el 40 % de los casos Sectores objetivo Selección de víctimas Herramientas disponibles Tiempo medio invertido en la organización atacada Segunda intrusión después del primer incidente de seguridad Aunque dudamos de que estos agresores establecidos supuestamente en Irán cuenten con una verdadera preparación en estos momentos, nada impide que pongan a prueba y mejoren su capacidad. El carácter cada vez más público de los debates entre Estados Unidos y otros países, cada vez más públicas, en torno a su capacidad ciberofensiva podrían animar a otros ciberdelincuentes a desarrollar y poner a prueba sus propias habilidades. CONCLUSIÓN Aunque los autores de amenazas supuestamente establecidos en Irán que Mandiant ha observado parecen ser menos sofisticados que otros, suponen una amenaza creciente debido a la hostilidad histórica de Irán con respecto a los intereses gubernamentales y empresariales de Estados Unidos. Los resultados de las negociaciones diplomáticas entre Irán y los gobiernos occidentales sobre su programa nuclear podrían ser cruciales en el impacto final de los creadores de amenazas establecidos en Irán. 10 Mandiant M-Trends Más allá de un fallo de seguridad ® Crédito convertido en efectivo En 2013 no solo nos enfrentamos a ciberoperaciones políticas. Mandiant respondió a un número creciente de incidentes de robo financiero, muchos de ellos dirigidos al sector del comercio minorista. En todos los incidentes que investigamos, fue un tercero —normalmente uno de los principales bancos o marcas de tarjetas de crédito— quien informó al comercio del ataque. Sin embargo, en algunos casos las fuerzas de seguridad se encargaron de comunicárselo a las víctimas. Los autores de la amenaza mantuvieron su acceso a los sistemas vulnerados durante un periodo de hasta seis meses. Los responsables de la amenaza buscaban los datos almacenados en las pistas de la banda magnética de las tarjetas de crédito. Hay dos tipos de datos: los de la pista 1 y los de la pista 2. Los datos de la pista 1 incluyen información como el número de cuenta principal, la fecha de caducidad y el nombre del titular de la tarjeta. Los datos de la pista 2 incluyen el número de cuenta principal y la fecha de caducidad, entre otros. Los agresores atacaron servidores, controladores y terminales punto de venta basados en Windows para obtener esta información, que les permitiría falsificar tarjetas de crédito. A lo largo de los últimos diez años, Mandiant ha combatido diversas intrusiones en el sector minorista, muchas de ellas llevadas a cabo de forma similar. Sin embargo, hay dos diferencias significativas que caracterizaron los incidentes que combatimos en 2013: el vector de ataque inicial y el método que los delincuentes utilizaron para obtener los datos del titular de la tarjeta desde los sistemas punto de venta. www.mandiant.com En 2013, en las intrusiones llevadas a cabo en el sector minorista se utilizó un nuevo vector de ataque inicial y los delincuentes emplearon nuevos métodos para obtener datos de los titulares de tarjetas de crédito desde sistemas punto de venta remotos. 11 Figura 4: Compra de ACCESO mediante REDES DE BOTS 2 1 Una estación de trabajo de un entorno corporativo de un comercio minorista es infectada por un conocido troyano bancario. El dueño de la red de bots identifica al comercio minorista como un objetivo de gran valor y actualiza la puerta trasera a una versión más sigilosa para evitar ser detectado por el antivirus. Operador de la red de bots M RO MP CO Com Sede central del comercio minorista 4 Tres miembros de la organización criminal cargan otras utilidades para desplazarse lateralmente y establecer otras puertas traseras para mantener el acceso. 3 Vector de ataque inicial Normalmente, los ciberdelincuentes atacaban y sacaban provecho de las aplicaciones web externas de las empresas agredidas. Después de comprometer las aplicaciones web, se desplazaban por el entorno lateralmente. En los incidentes a los que Mandiant respondió en 2013, los autores localizaron métodos de entrada mucho más sencillos: simplemente obtuvieron acceso directo a los sistemas previamente vulnerados e infectados por el dueño de una red de bots. Aunque Mandiant no tiene en su poder ninguna prueba concluyente de cómo se produjeron estas transacciones, parece probable que el agresor comprase el acceso o negociase para obtenerlo. Identificamos una estación de trabajo de un usuario en el entorno corporativo del comercio minorista agredido que se había infectado con un troyano 12 Ciberdelincuente Tres días después, una organización criminal especializada en el robo de tarjetas de crédito consigue que el propietario de la red de bots le otorgue acceso a la puerta trasera. bancario común, un elemento de malware de consumo que suele usarse para interceptar las credenciales bancarias de los usuarios. En un plazo de menos de 24 horas después de la infección inicial, el propietario de la red de bots actualizó la puerta trasera a una versión más sigilosa diseñada para evitar su detección por parte de productos antivirus. Tres días después, una organización criminal especializada en el robo de datos de titulares de tarjetas de crédito accedió al troyano modificado para introducirse en el entorno de la víctima y cargar otras herramientas para poder desplazarse lateralmente. También cargaron puertas traseras que habían adquirido del propietario de la red de bots. Estas puertas traseras les permitieron mantener el acceso al entorno de la víctima. Mandiant M-Trends Más allá de un fallo de seguridad ® Com Figura 5: Cómo obtuvieron los agresores acceso a sistemas punto de venta de establecimientos 1 2 3 Los ciberdelincuentes aprovecharon pequeños errores de configuración en la infraestructura para identificar los sistemas con acceso directo a los terminales punto de venta (POS). Servidor del agresor Servidor pivote Una controladora de dominio, que ofrecía autenticación para las oficinas de la empresa y las tiendas, proporcionó el punto vulnerable. El malware de recopilación de tarjetas de crédito desplegado en cada registro buscó en la memoria de procesos de la aplicación punto de venta los datos de banda magnética almacenados en los formatos de pista 1 y pista 2 (ISO/IEC 7813). Compan Compan Entorno PCI POS Sistema 1 Todas las víctimas a las que Mandiant prestó sus servicios en 2013 hacían uso de un entorno conforme con la norma de seguridad PCI. En este caso, los perpetradores aprovecharon pequeños errores de configuración en la infraestructura para identificar los equipos con acceso directo a los sistemas punto de venta. Un controlador de dominio, que proporcionaba autenticación para las oficinas y los establecimientos de la empresa, constituyó el punto vulnerable. Los agresores utilizaron las credenciales del administrador de dominio interceptadas para ejecutar un script de procesamiento por lotes de Windows en el servidor del controlador de dominio y desplegar malware de recopilación de datos de POS Sistema 2 Tienda 1 Despliegue de herramientas de recopilación de datos en registros remotos www.mandiant.com CO Red corporativa ISE OM R MP POS Sistema 1 POS Sistema 2 Tienda 2 POS Sistema 1 POS Sistema 2 Tienda 3 tarjetas. En uno de los casos, el malware infectó más de 1000 registros que ejecutaban software punto de venta en sistemas operativos Microsoft® Windows® XP en cientos de tiendas. Acceso a los datos de titulares de tarjetas El malware de recopilación de datos de tarjetas desplegado en cada registro realizó búsquedas en la memoria de proceso de la aplicación punto de venta para obtener los datos de las bandas magnéticas almacenados en las pistas 1 y 2, según el formato que estipula la norma ISO/IEC 7813. Los autores aprovecharon las tareas programadas de Windows para ejecutar el malware cada hora durante el horario comercial. El malware extrajo los datos, los codificó y los almacenó en una tabla de base de datos temporal en el registro. 13 Recomendaciones para una acción inmediata Los casos de ciberdelincuencia contra minoristas estadounidenses están aumentando, en parte debido a que las tecnologías de chip y PIN dirigidas a reducir el fraude con las tarjetas de crédito aún no se han adoptado de forma generalizada en Estados Unidos. Este cambio de rumbo hacia una tecnología más segura para las tarjetas de crédito es inminente. Mientras tanto, los comerciantes ya pueden tomar medidas para mejorar su propia seguridad. Recomendamos lo siguiente: Consejo: en la mayor parte de las investigaciones realizadas por Mandiant, se ha observado que los ciberdelincuentes utilizaban tareas programadas de Windows durante los ataques. Puede identificar los primeros signos de la presencia de un agresor en su entorno recopilando tareas programadas de todos los sistemas para comprobar si presentan actividad sospechosa. »» Implementar una segmentación estricta de la red con respecto al entorno PCI: separe cualquier sistema que gestione datos de titulares de tarjetas del resto del entorno corporativo. Exija una autenticación de dos factores para acceder al entorno PCI. »» Gestione las cuentas con privilegios: cada sistema del entorno PCI debe contar con su propia contraseña de administrador local única. Aplique el principio de "privilegios mínimos" a los permisos de todos los grupos y cuentas, incluidas las cuentas de servicio. »» Cifre los datos de los titulares de las tarjetas de crédito: plantéese utilizar una solución punto de venta con cifrado asimétrico de extremo a extremo, empezando por el lector de introducción de PIN. »» Endpoints seguros: asegúrese de que todos los sistemas fundamentales del entorno tengan implementada una lista blanca de aplicaciones. Aplique los parches pertinentes a todos los sistemas operativos y las aplicaciones de terceros. Instale una solución de detección y respuesta para amenazas dirigidas a endpoints. Plantéese implementar una solución de supervisión que realice un seguimiento de cuándo se han creado los archivos en un sistema. »» Lleve a cabo una supervisión activa: supervise el entorno PCI con regularidad por si se produce una actividad anormal, como inicios de sesión sospechosos, la creación de archivos inesperados o un flujo de tráfico inusual. Desde el sistema vulnerado de la oficina corporativa, los agresores usaron la utilidad osql.exe de Microsoft para realizar consultas en las bases de datos SQL temporales creadas en los registros. Los resultados se guardaron en un archivo plano en el equipo comprometido y se comprimieron mediante la utilidad de compresión 7-Zip. El archivo comprimido se cargó entonces en un sitio web público de transferencia de archivos. Este método de almacenar los datos robados en una base de datos temporal antes de extraerlos de los equipos remotos mediante una consulta SQL es bastante interesante. Conocemos otros casos en los que el malware de recopilación de datos guarda los resultados directamente en un archivo o transfiere los datos automáticamente a un sitio FTP externo. CONCLUSIÓN Los sistemas que almacenan datos de titulares de tarjetas son objetivos lucrativos de gran calibre. Los ciberdelincuentes implementarán innovaciones y realizarán inversiones significativas en nuevas herramientas y tácticas para robar un gran volumen de datos de tarjetas de crédito. Suponemos que reutilizarán estas tácticas con todas las empresas objetivo que puedan, a menudo en periodos de tráfico elevado, como la temporada de compras del periodo vacacional. 14 Mandiant M-Trends Más allá de un fallo de seguridad ® Robo de datos: se llevan hasta el gato Cuando Mandiant responde a un incidente, la primera pregunta que suelen hacerle los clientes es "¿Por qué me han elegido como blanco?", seguida a menudo de la reflexión "No tengo nada que puedan robar". Nuestra respuesta, acuñada durante muchas investigaciones en los últimos años, es cada vez con más frecuencia "Sí, claro que lo tiene". El gobierno chino está ampliando el alcance de sus ciberoperaciones y a los creadores de amenazas avanzadas establecidos en China les interesa adquirir datos sobre cómo funcionan las empresas, no solo sobre cómo fabrican sus productos. En anteriores informes M-Trends indicábamos que estos delincuentes ahora eligen sus objetivos claramente fuera de la industria de la defensa y cada vez son más las campañas intensivas de intrusión que realiza el gobierno chino para obtener información que ayude a sus empresas públicas. Se trata de robos de datos que trascienden la propiedad intelectual básica de una empresa e incluyen información sobre cómo funciona la compañía y cómo toman decisiones sus ejecutivos y principales responsables. www.mandiant.com 15 Figura 6: Más que I+D y planos Medio de comunicación Fabricante Un fabricante f de sistemas de alimentación sufrió un ataque en su red que provocó sufri pérdida de datos relacionados con los la pé proc procesos de optimización de fabricación. Los ciberdelincuentes robaron el contenido de las la cuentas de correo electrónico de los jefes de proyecto de la división de tecnología de la empresa. y desarrollo des Compañía energética Una empresa de comunicación sufrió el robo de registros financieros, planificaciones, archivos de investigación, mensajes de correo electrónico e información de la libreta de direcciones de altos ejecutivos y periodistas que informaban exclusivamente sobre China. ONG Una compañía energética, cuyos ejecutivos y directivos tenían comprometidas sus cuentas de correo electrónico, sufrió un robo de datos entre los que se que incluía información sobre una joint venture con un gobierno regional chino para un proyecto de energía limpia. 16 Como resultado de un ataque, una ONG sufrió el robo de cientos de archivos que incluían mensajes de correo electrónico, programas e iniciativas, planes y objetivos estratégicos, fichas de recursos humanos, información sobre subvenciones y actas de reuniones. Lo que aparece en los titulares: Y lo que no: Sistemas armamentísticos vulnerados del Departamento de Defensa de EE. UU.5: »» Misiles PAC-3 »» Aviones de combate F-35 »» Sistemas antimisiles balísticos THAAD »» Sistemas de combate Ageis de la Marina »» Cazas F/A-18 »» Aeronaves polivalentes V-22 Osprey »» Helicóptero Black Hawk »» Navío de guerra costero Robo de datos con APT de diversa naturaleza por parte de autores establecidos en China: »» Mensajes de correo electrónico de ejecutivos »» Procesos empresariales »» Planes de negociación »» Información presupuestaria »» Organigramas »» Actas de reuniones »» Expedientes de recursos humanos »» Programas e iniciativas Mandiant M-Trends Más allá de un fallo de seguridad ® Un año después del informe sobre el grupo APT1: ¿qué ha cambiado? La publicación del informe sobre el grupo APT1 de Mandiant en febrero de 2013 supuso una oportunidad única de comprobar si las revelaciones sobre la ciberactividad auspiciada por el gobierno chino podían promover una solución diplomática al problema del ciberespionaje nacional en favor de las de entidades del sector privado. ¿Podría esto trasladar el debate a las esferas presidenciales y lograr un avance real? Durante un breve periodo de tiempo, obtuvimos un no por respuesta. En enero de 2013 se produjo la primera divulgación a gran escala de un grupo de amenazas persistentes avanzadas (APT) supuestamente vinculado a la República Popular China (RPC) que había puesto en jaque a un grupo de comunicación clave de Estados Unidos: The New York Times. En un artículo de primera plana publicado el 30 de enero de 2013, el New York Times reveló que una banda de hackers establecida en China, conocido como APT12, había vulnerado sus redes en los últimos cuatro meses6. El artículo provocó una desafiante respuesta por parte de la RPC, que declaró que "la legislación china prohíbe cualquier acción que atente contra la seguridad en Internet, incluida la piratería informática" y que "acusar al ejército chino de perpetrar ciberataques sin una prueba sólida carece de profesionalidad y fundamento"7. www.mandiant.com Analizamos su actividad: Basamos nuestras observaciones de la actividad de los grupos APT1 y APT12 en sesiones de comando y control (C2) activas. Un creador de ciberamenazas establece una conexión con el malware en la red de la víctima para realizar operaciones en ella. Las sesiones C2 muestran si un operador está involucrado activamente en ataques a la red. 17 Al poco tiempo de que la RPC desestimara el caso de The New York Times, Mandiant publicó el informe sobre APT1, donde presentaba pruebas que vinculaban a la banda de hackers establecida en China con la RPC, en concreto a la unidad 61398 del Ejército Popular de Liberación8. La RPC negó una vez más su participación y no tardó en tildar el informe sobre el grupo APT1 de "poco profesional" y "lleno de lagunas"9. A pesar de ello, las continuas observaciones llevadas a cabo por Mandiant de la actividad de los grupos APT1 y APT12, medidas en sesiones de comando y control (C2), revelaron una respuesta bien distinta entre bambalinas que sugería la posible confirmación de que ambos grupos habían sido descubiertos. Mandiant, basándose en comparativas entre la actividad de APT1 y APT12 durante 2013 y los tres años anteriores, cree que estos grupos de amenazas respondieron a su desenmascaramiento público de dos maneras. En primer lugar, ambos grupos retrasaron la vuelta a sus operaciones habituales tras los días festivos por el Año Nuevo chino en febrero. En segundo lugar, ambos grupos cambiaron rápidamente su infraestructura operativa para continuar con sus actividades. A pesar de las recientes acusaciones y la consiguiente proyección internacional, las reacciones de los grupos APT1 y APT12 indican el interés por parte de la RPC tanto de que se oculte como de que se continúe con el robo de datos. Esto sugiere que la RPC cree que los beneficios de sus campañas de ciberespionaje pesan más que los costes de las posibles repercusiones internacionales. APT1 Y APT12 INTERRUMPEN SUS OPERACIONES Mandiant observó periodos de inactividad significativamente mayores tanto en el caso del grupo APT1 como del grupo APT12 después del artículo de The New York Times y el informe sobre APT1 si se compara con la actividad básica de ambos grupos durante los tres años anteriores. El grupo APT12 reanudó sus operaciones durante poco tiempo cinco días después de ser descubierto en el artículo de The New York Times, pero no retomó su actividad intrusiva sistemática hasta 81 días después. Incluso entonces, el grupo APT12 esperó a que pasasen unos 150 días después de la publicación del artículo para reanudar los niveles de actividad previos a la divulgación. En la Figura 8, se muestra la actividad observada desde enero hasta septiembre de 2013 (línea roja) frente a a actividad media observada entre 2011 y 2012 (línea azul). El grupo APT1 presentó periodos igualmente prolongados de inactividad después de su desenmascaramiento en el informe de Mandiant. La publicación del informe coincidió con el final de la Semana Dorada, siete días festivos oficiales posteriores al Año Nuevo chino. El grupo APT1 estuvo inactivo durante 41 días más de lo habitual después de la Semana Dorada y tras la publicación del informe de Mandiant en comparación con los patrones de actividad del periodo 2010-2012. Cuando el grupo APT1 reanudó su actividad, lo hizo a un nivel inferior al habitual antes de retomar su actividad intrusiva sistemática cerca de 160 días después de su incriminación. En la Figura 7 se muestra la actividad del grupo APT1 de enero a septiembre de 2013 (línea roja) en comparación con la actividad media observada entre 2010 y 2012 (línea azul). 18 Mandiant M-Trends Más allá de un fallo de seguridad ® Informe APT1 15 Artículo del NYT 10 5 Figura 7: Número de sesiones C2 de APT1 en 2013 en comparación con la actividad básica durante 2010-2012 Media Se pt 1- 1Ag os l 1Ju n 1Ju 1M ay 1Ab r M ar 1- Ar tíc ul o de Añ lN o YT Nu ev o In Ch fo rm ino e AP T1 1- En e 0 2013 120 Año Nuevo Chino 100 80 Informe APT1 60 40 20 pt s 1- Se 1Ag o l 1Ju n 1Ju 1M ay 1Ab r ar M 1- in o AP T1 e fo r m Ch In Media Añ o Nu ev o 1- 1- En e Fe b 0 2013 Figura 8: Número de sesiones C2 de APT12 en 2013 en comparación con la actividad básica durante 2011 y 2012 25 Año Nuevo Chino 20 Informe APT1 15 Artículo del NYT 10 5 Media pt s 1Se 1Ag o l 1Ju n 1Ju 1M ay 1Ab r ar M 1- Ar tíc ul o de Añ lN o YT Nu ev o In Ch fo rm ino e AP T1 1En e 0 2013 120 www.mandiant.com Año Nuevo Chino 19 100 Figura 9: Cronología de los eventos de 2013: APT1 y APT12 ENE 30 DE ENERO The New York Times publica el artículo que revela la intrusión del grupo APT12. 4 DE FEBRERO La actividad del grupo APT12 se reanuda durante un breve periodo de tiempo. FEB 10 DE FEBRERO Comienza el periodo de días festivos por el Año Nuevo chino y la Semana Dorada. 18 DE FEBRERO Mandiant publica un informe en el que vincula al grupo APT1 con la unidad 61398 del ejército chino. MAR 25 DE MARZO La actividad del grupo APT1 se reanuda a un nivel más bajo de lo habitual. ABR 24 DE ABRIL El grupo APT12 retoma su actividad a un nivel más bajo de lo habitual. MAY 7-8 DE JUNIO Se celebra la cumbre presidencial entre Estados Unidos y China. JUN 1 DE JULIO El grupo APT12 retoma su nivel de actividad previo a las acusaciones. JUL Los periodos prolongados de inactividad tanto del grupo APT1 como del grupo APT12 en respuesta a su desenmascaramiento público pueden deberse a un intento de la RPC de evaluar las posibles consecuencias políticas tras las publicaciones y de reorganizar sus ciberoperaciones para ocultar mejor su actividad. APT1 Y APT12 MODIFICARON SU INFRAESTRUCTURA OPERATIVA Las observaciones que mantuvo Mandiant sobre los grupos APT1 y APT12 demostraron que ambos modificaron su infraestructura tras las revelaciones del artículo de The New York Times y el informe de Mandiant. El informe sobre APT1 incluía más de 3000 indicadores, entre ellos nombres de dominio, direcciones IP, certificados de cifrado y hashes de malware basados en el algoritmo MD5. Después de publicar su informe, Mandiant observó que el grupo APT1 modificó gran parte de su arquitectura operativa y sustituyó lo que se había divulgado en el informe sobre su actividad. Aunque el artículo de The New York Times no había revelado la infraestructura operativa del grupo APT12, Mandiant observó que el grupo también había implementado cambios en su arquitectura operativa y había sustituido toda la infraestructura que los investigadores habían podido sacar a la luz a raíz de la publicación del artículo10, 11. Mandiant cree que los cambios en las infraestructuras de los grupos APT1 y APT12 se debieron directamente a su divulgación pública, ya que ambos modificaron aquello que había quedado expuesto y mantuvieron otras infraestructuras. Creemos que los grupos APT1 y APT12 cambiaron la arquitectura operativa que se había divulgado en un intento de ocultar sus futuras operaciones de robo de datos. 22 DE JULIO El grupo APT1 retoma su nivel de actividad previo a las acusaciones. 20 Mandiant M-Trends Más allá de un fallo de seguridad ® Figura 10: Cambios en la infraestructura de APT1 tras la publicación del informe de Mandiant Nuevas direcciones IP asociadas a la misma familia de malware 18 de febrero de 2013 Se publica el informe APT1 de Mandiant de de ju 20 nio 13 16 27 d de e a 20 bril 13 de de ma 20 rzo 13 08 de de en 20 ero 13 17 vi de em 20 bre 12 28 de no pt i de em 20 bre 12 9 de se de a de go 20 sto 12 20 1 d de e ju 20 lio 12 Direcciones IP asociadas a la familia de malware utilizada por APT1 y descubierta por Mandiant APT1 cambia a direcciones IP utilizadas por una familia de malware NO PUEDE NI (PROBABLEMENTE) QUIERE PARAR Las reacciones de los grupos APT1 y APT12 a su difusión pública sugieren que la RPC, a pesar de negar públicamente su implicación en robos de datos auspiciados por el Estado, no está dispuesta al cese permanente de sus ciberoperaciones de intrusión. El uso continuo de las ciberoperaciones por parte de la RPC puede poner en peligro las futuras relaciones de China con Estados Unidos. El presidente Obama hizo del ciberespionaje de China el tema principal de la cumbre presidencial de junio de 2013 entre ambos países, prestando máxima atención a un problema que el asesor de seguridad nacional Tom Donilon calificó como "clave de cara al futuro" de las relaciones entre Estados Unidos y China12. No obstante, según recientes observaciones de Mandiant de la actividad de APT establecida en China, parece que la RPC no tiene intención de abandonar sus campañas de ciberespionaje, a pesar de las advertencias expresas del gobierno de Obama de que su persistencia "iba a suponer un problema muy difícil en las relaciones económicas" entre los dos países13. www.mandiant.com 21 Conclusión A lo largo del año pasado, observamos un cambio drástico en la frecuencia del debate público en torno a los fallos de seguridad. Las organizaciones atacadas están ahora más dispuestas a hablar abiertamente sobre las intrusiones que han sufrido y los responsables políticos expresan sus inquietudes tanto a nivel nacional como internacional. Sin embargo, el mayor debate y conocimiento de los fallos de seguridad no ha sido suficiente para cambiar la realidad actual: los fallos de seguridad son inevitables. Hay una tendencia clara: las organizaciones son más conscientes de las ciberamenazas que nunca, pero los autores de las amenazas también han evolucionado para abarcar un ámbito más amplio de objetivos y utilizan un conjunto de aptitudes más extenso para lograr sus objetivos. En este informe, hemos analizado casos recientes en los que están involucrados hacktivistas, nuevos creadores de amenazas, ciberdelincuentes y grupos auspiciados por países que atacan a agencias informativas, organismos gubernamentales, empresas y organizaciones sin ánimo de lucro. Aunque las organizaciones objetivo han mejorado los sistemas de defensa de sus redes, el agresor típico sigue siendo capaz de acceder y navegar por las redes sin ser detectado durante más de ocho meses. Por otro lado, otros autores de amenazas, como los hacktivistas, pueden trasmitir su mensaje y dañar a una organización mediante tácticas sencillas y un poco de empeño. No obstante, este panorama de amenazas en evolución, aunque complicado, no tiene por qué resultar desalentador. Para combatir las brechas de seguridad, las organizaciones necesitan personas debidamente cualificadas y visibilidad de sus redes, endpoints y registros. Asimismo, necesitan información oportuna sobre amenazas que les permita identificar actividades maliciosas con mayor celeridad. Cuando ocurre lo inevitable, la rapidez y el modo de actuar son cruciales. Los fallos de seguridad son inevitables. ¿Cómo piensa actuar ante ellos? 22 Mandiant M-Trends Más allá de un fallo de seguridad ® Notas finales 1 Congreso de los Estados Unidos: “Subcommittee Hearing: Cyber Threats from China, Russia and Iran: Protecting American Critical Infrastructure”. 20 de marzo de 2013. http://homeland.house.gov/ hearing/subcommittee-hearing-cyber-threats-china-russia-and-iran-protecting-american-critical 2 Perlroth, Nicole. Hardy, Quentin. "Bank Hacking was the Work of Iranians, Officials Say". The New York Times, The New York Times Company. 8 de enero de 2013. Web. 19 de diciembre de 2013. http://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-usofficials-say.html?_r=0 3 Perlroth, Nicole. Hardy, Quentin. "Bank Hacking was the Work of Iranians, Officials Say". The New York Times, The New York Times Company. 8 de enero de 2013. Web. 19 de diciembre de 2013. http://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-usofficials-say.html?_r=0 4 Gorman, Siobhan. "Iran Renews Internet Attacks on U.S. Banks". The Wall Street Journal, Dow Jones & Company. 17 de octubre de 2012. Web. 19 de diciembre de 2013. 5 "Plans for More Than Two Dozen U.S. Weapons Systems — Including an F-35 Fighter — Have Been Stolen by Chinese Hackers, Claims Pentagon". The Daily Mail, Associated Newspapers, Ltd. 28 de mayo de 2013. Web. 12 de noviembre de 2013. 6 Perlroth, Nicole. "Hackers in China Attacked the Times for Last 4 Months". The New York Times, The New York Times Company. 30 de enero de 2013. Web. 16 de diciembre de 2013. 7 Perlroth, Nicole. "Hackers in China Attacked the Times for Last 4 Months". The New York Times, The New York Times Company. 30 de enero de 2013. Web. 16 de diciembre de 2013. 8 "APT1: Exposing One of China’s Cyber Espionage Units". Mandiant. 18 de febrero de 2013. Web. 16 de diciembre de 2013. 9 "Chinese Media Slam Cyber-Hacking Report". Voice of America News, Voice of America. 21 de febrero de 2013. Web. 16 de diciembre de 2013. 10 Blog de FireEye: http://www.fireeye.com/blog/technical/malware-research/2013/02/an-encounterwith-trojan-nap.html 11 Trend Micro: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/ wp_ixeshe.pdf 12 Neuman, Scott. "Chinese Cyber-Hacking Discussed at Obama-Xi Summit". The Two-Way, National Public Radio. 9 de junio de 2013. Web. 17 de diciembre de 2013. 13 Neuman, Scott. "Chinese Cyber-Hacking Discussed at Obama-Xi Summit". The Two-Way, National Public Radio. 9 de junio de 2013. Web. 17 de diciembre de 2013. www.mandiant.com 23 Acerca de Mandiant® Mandiant ha expulsado a autores de amenazas de las redes informáticas y los endpoints de cientos de clientes en todos los sectores destacados. Somos la opción definitiva para las empresas incluidas en la lista Fortune 500 y los organismos gubernamentales que desean protegerse y actuar ante incidentes de seguridad importantes de cualquier clase. La mayoría de las operaciones selectivas avanzadas se desarrollan sin ser detectadas y proliferan sin defensa alguna. Cuando se producen intrusiones, la combinación única de Mandiant de recursos humanos cualificados y liderazgo tecnológico, junto con la información sobre amenazas de FireEye, ayuda a las organizaciones a detectarlas, combatirlas y neutralizarlas antes de que sus autores consigan alcanzar su objetivo. Nuestros ingenieros y consultores de seguridad cuentan con las autorizaciones de seguridad gubernamentales de máximo nivel, tienen 11 libros en su haber y siempre están en boca de las principales agencias de prensa. Mandiant tiene su sede principal en Alexandria, Virginia (Estados Unidos) y cuenta con oficinas en Nueva York, Los Ángeles, San Francisco, Reino Unido e Irlanda. Para obtener más información sobre Mandiant, visite www.mandiant.com, lea nuestro blog, M-Unition, o síganos en Twitter en @Mandiant o en Facebook en www.facebook.com/mandiantcorp. Acerca de FireEye™ FireEye ayuda a las empresas a defenderse de la última generación de ciberataques. Combinando nuestras plataformas de prevención de amenazas, nuestra gente y nuestros datos, ayudamos a eliminar las consecuencias de las intrusiones mediante la detección de los ataques, la notificación del riesgo y el suministro de lo necesario para resolver rápidamente los incidentes de seguridad. 24 Mandiant M-Trends Más allá de un fallo de seguridad ® www.mandiant.com