M- Trends Más allá de un fallo de seguridad

Anuncio
Informe SOBRE amenazas de 2014
Trends
®
Más allá de un
fallo de seguridad
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Daños colaterales: el Ejército Electrónico Sirio se hace
literal­mente con todos los titulares. . . . . . . . . . . . . . . . . . . . . . . . 4
Actividad con base en Irán. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Crédito convertido en efectivo. . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Robo de datos: se llevan hasta el gato. . . . . . . . . . . . . . . . . . . . . 15
Un año después del informe sobre el grupo APT1:
¿qué ha cambiado? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Conclusión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Notas finales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Acerca de Mandiant® . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Acerca de FireEye™. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
© 2014 Mandiant, A FireEye Company. Reservados todos los derechos.
Introducción
La ciberseguridad se ha convertido en algo convencional. Es increíble lo rápido que
ha pasado de ser un problema específico de los entornos de TI a ser un problema
del consumidor y un asunto prioritario en las salas de juntas. Todo el mundo es
consciente de lo que los expertos en seguridad ya sabían desde hace mucho
tiempo: la seguridad perfecta no existe. Los fallos de seguridad son inevitables,
porque los responsables de las amenazas que se lo proponen siempre encuentran
un modo de abrirse camino por las brechas.
A lo largo del año pasado, Mandiant observó cómo
muchas empresas mejoraron modestamente su
capacidad de combatir las brechas de seguridad.
Un hecho esperanzador es que muchas
organizaciones están detectando los ataques de
forma más rápida. En 2013, el número medio de
días que los agresores estuvieron presentes en
la red de una víctima hasta ser descubiertos fue
de 229, en comparación con los 243 registrados
en 2012. Sin embargo, las organizaciones aún
tienen dificultades para detectar cuándo han
sufrido una intrusión. En 2013, solo el 33 % de
las organizaciones a las que Mandiant prestó sus
servicios se había percatado de la intrusión, frente
a un 37 % en 2012.
No obstante, hay un aspecto que ha cambiado
radicalmente: la disposición de las empresas atacadas
y los responsables políticos a hablar más abiertamente
sobre los fallos de seguridad a los que se enfrentan.
The New York Times y otros medios han publicado
relatos sobre sus propios incidentes. El presidente
Obama abordó la cuestión de las ciberamenazas en
su discurso anual del Estado de la Nación. A esto se
suma la proliferación de las intrusiones a gran escala
en el comercio minorista; es raro aquel que no ha
sufrido las consecuencias de un fallo de seguridad,
ya sea por el robo de los datos de su tarjeta de crédito
o de las credenciales de un sitio web comercial.
www.mandiant.com
En el informe M-Trends de este año, le ofrecemos
la perspectiva de Mandiant sobre la evolución de
las amenazas. Nuestros análisis y datos provienen
directamente de nuestra experiencia al responder
a los incidentes de seguridad de cientos de clientes
en más de 30 sectores distintos. Además, realizamos
un seguimiento de una amplia variedad de agresores
e indicadores sometidos a debate público, y ponemos
en contexto nuestro análisis en los casos pertinentes.
Hay un hecho meridianamente claro: la lista de
posibles objetivos ha aumentado y la cancha de
juego es mayor. Los autores de ciberamenazas
están ampliando las finalidades de las intrusiones
en las redes informáticas para cumplir una serie
de objetivos, tanto en materia de economía como
de política. No están interesados únicamente en
apoderarse de las joyas de la corona de las empresas,
sino también en encontrar modos de hacer campaña
de su ideología, causar daños físicos e influir en las
decisiones políticas globales.
Cada vez más, las empresas privadas se incluyen
entre los daños colaterales de los conflictos políticos.
Dado que no parece haber una solución diplomática
a la vista, la capacidad de detectar y combatir los
ataques ha cobrado más importancia que nunca.
1
LAS VÍCTIMAS EN CIFRAS
Los responsables de las ciberamenazas siguen atacando a una amplia
variedad de sectores. Aunque las organizaciones detectan los ataques
dos semanas antes que hace un año, es menor la probabilidad de
lo hagan por sí mismas.
Sectores objetivo de los ciberdelincuentes
En 2013, Mandiant observó un aumento de la actividad de los ciberdelincuentes
en dos sectores claves.
Servicios financieros
hasta el 15 %
desde el 11 %
Otros
23 %
Medios de
comunicación
y entretenimiento
Educación
hasta el 13 %
desde el 7 %
3%
Servicios jurídicos
3%
Transporte
3%
Fabricación
Productos farmacéuticos
y biotecnología
10 %
4%
Telecomunicaciones
Industria aeroespacial y defensa
4%
6%
Fabricación de productos químicos
4%
Servicios empresariales
Construcción
4%
Comercio
minorista
4%
4%
2
Mandiant M-Trends Más allá de un fallo de seguridad
®
Cómo se detectan los ataques
El
33 %
Tiempo desde la primera
prueba de amenaza hasta
el descubrimiento del ataque
de las víctimas
descubren el ataque
internamente
Se ha reducido, comparado
con el 37 % de 2012
El
67 %
de las víctimas fueron
informadas por una
entidad externa
229 días
de media de presencia de
los grupos de amenazas en la red
de una víctima antes de la detección
14 días menos que en 2012
Presencia más larga: 2287 días
Tendencias del correo electrónico de phishing
El
44 %
Lun
Mar
de los mensajes de phishing observados
estaban relacionados con TI y a menudo
intentaban suplantar el departamento de
TI de la empresa atacada
El 93 % de los mensajes de correo electrónico
de phishing se enviaron durante días laborables
Miér
Jue
Vie
Sáb
Dom
Análisis del panorama de las ciberamenazas
Objetivo
Ejemplo
Molestias
Robo de datos
Ciber­
delincuencia
Hacktivismo
Ataques
a la red
Acceso
y propagación
Ventaja económica
o política
Beneficio
económico
Difamación, publicidad
y activismo político
Escalación
y destrucción
Redes de bots
y spam
Robo de la
propiedad
intelectual
Robo de tarjetas
de crédito
Manipulación
de sitios web
Destrucción de
infraestructura
crítica
Automatizado
Persistente
Oportunista
Notorio
Conflictivo
Selectivo
Carácter
www.mandiant.com
3
Daños colaterales: el ejército
electrónico sirio se hace literal­
mente con todos los titulares
A lo largo del año pasado, diversos conflictos políticos
internacionales originaron ciberataques que afectaron al
sector privado. Mandiant respondió a un creciente número
de incidentes en los que el Ejército Electrónico Sirio (SEA, por
sus siglas en inglés) consiguió acceder a sitios web externos
y a cuentas de redes sociales de diversas organizaciones
con el fin principal de hacer campaña de su causa política.
Según las observaciones que Mandiant ha realizado de la actividad del SEA a lo
largo de 2013, el grupo utilizó dos tácticas para obtener acceso a sus empresas
objetivo: enviar mensajes de correo electrónico de phishing desde cuentas
internas y, a partir de agosto de 2013, atacar a diversos proveedores de servicios
para dañar a sus víctimas a través de ellos.
Mandiant cree que el SEA continuará realizando intrusiones contra sus blancos
de peso con el fin de incrementar la publicidad del régimen sirio y mostrar su
apoyo a su criticado presidente, Bachar el Asad. Aunque estas intrusiones del SEA
no han pasado de la manipulación de algunos sitios web para incluir el logotipo
del SEA e imágenes de Asad, es evidente que han conseguido llamar la atención
a nivel internacional. Y, lo que es más significativo, han logrado aumentar el miedo
a los ciberataques entre los gobiernos y las empresas.
4
Mandiant M-Trends Más allá de un fallo de seguridad
®
¿Qué es el SEA y cuáles son sus motivaciones?
El presidente sirio Bachar el Asad dedicó la mayor
parte de 2013 a luchar por mantener el control del
país. Mientras tanto, el Ejército Electrónico Sirio
(SEA, por sus siglas en inglés), un grupo hacktivista
relacionado con el régimen, libró una campaña online
en paralelo contra los detractores de Asad. Desde su
aparición en 2011, el SEA ha conseguido infiltrarse
en más de 40 organizaciones, principalmente los
sitios web y las cuentas de las redes sociales de
destacadas agencias informativas occidentales.
La finalidad de la ciberactividad del SEA parece ser
dar publicidad y obtener apoyo para el asediado
presidente atacando a los supuestos opositores
del régimen y manipulando sus sitios web. El SEA
ha dirigido sus ataques principalmente a medios
informativos occidentales, en algunos casos
por publicar artículos que, según el SEA, eran
tendenciosos e iban en contra del controvertido líder.
El SEA ganó fuerza a lo largo de 2013, debido al
mayor número de intrusiones y ataques altamente
visibles contra las empresas objetivo.
Las intrusiones del SEA analizadas públicamente
pusieron de manifiesto cómo utilizó el grupo mensajes
de correo electrónico de phishing para recopilar
credenciales de inicio de sesión válidas y acceder a las
redes seleccionadas. Aunque las agencias informativas
occidentales siguen siendo el blanco principal del SEA,
en agosto de 2013 se produjo un claro cambio en la
táctica de este grupo, que comenzó a atacar a más
proveedores de servicios, incluidos SocialFlow, Outbrain,
Melbourne IT y el Registro de Dominios de Qatar.
En la intrusión efectuada en octubre en el Registro
de Dominios de Qatar, el SEA se introdujo en sitios
gubernamentales y frecuentados de Qatar, incluidos
Al Jazeera y el Ministerio de Asuntos Exteriores. El SEA
ha seguido utilizando mensajes de correo electrónico
de phishing como método de intrusión inicial.
CASO PRÁCTICO: EL SEA ATACA UNA AGENCIA DE NOTICIAS
En 2013, el SEA manipuló el sitio web público de
una agencia de noticias y publicó mensajes desde
las cuentas de Twitter de esta dejando claro que
"el Ejército Electrónico Sirio había estado allí". El SEA
ejecutó una campaña rapidísima de phishing que
permitió al grupo acceder a las cuentas de correo
electrónico de diversos empleados, a un sistema
de gestión de contenidos y a la cuenta de Twitter
de la empresa. Los mensajes de correo electrónico
de phishing contenían un enlace a un sitio web que
se hacía pasar por la página de inicio de sesión del
correo electrónico externo de la agencia de noticias.
El sitio web recopiló las credenciales de empleados
desprevenidos que introdujeron sus datos de
inicio de sesión.
Los mensajes de correo electrónico de phishing
del SEA eran breves y contenían cebos informativos
con URL visibles de supuestas noticias. Las URL
ocultaban enlaces incrustados que se dirigían a sitios
maliciosos. Los temas coincidían con las últimas
www.mandiant.com
noticias acontecidas ese mismo día. Esta técnica
se aplicó de forma sistemática en todos los mensajes
de correo electrónico de phishing.
Después de la campaña inicial de phishing, el SEA
utilizó las credenciales robadas para acceder al
sistema de correo electrónico externo de la agencia de
noticias, que no requería autenticación de dos factores.
Con estas cuentas en su poder, el SEA inició una
segunda campaña de phishing dirigida en un principio
a listas de distribución de correo electrónico específicas.
Su meta era obtener las credenciales de las cuentas de
usuario que habían accedido al sistema de gestión de
contenidos del sitio principal y a la cuenta de Twitter de
la empresa. Finalmente, el SEA envió miles de mensajes
de correo electrónico de phishing a un elevado número
de empleados en un periodo de tres horas. A pesar de
tener un éxito de solo el 0,04 %, los mensajes de correo
electrónico de phishing permitieron al SEA recopilar las
credenciales necesarias para acceder a los recursos
que le interesaban.
5
Figura 1: Cronología del ataque del SEA a una agencia de noticias
DÍA 1
Ataque de phishing
selectivo inicial
El SEA ataca
inicialmente
a una agencia
de noticias con
mensajes de
correo electrónico
de phishing.
DÍA 2
22 min después
31 min después
3 horas después
4 horas después
26 horas después
Los autores de
amenazas del SEA
inician una sesión
en cuentas de
correo web con
las credenciales
robadas de los
empleados.
El SEA envía una
segunda tanda de
mensajes desde
las cuentas de
correo electrónico
internas.
El SEA utiliza
credenciales
válidas obtenidas
a partir de su
campaña de
phishing para
acceder a la red
de la agencia de
noticias y para
autenticarse en el
sistema de gestión
de contenidos.
El SEA manipula
el sitio web
público de la
agencia de
noticias y publica
artículos y tweets
no autorizados
desde los sitios
web y la cuenta
de Twitter de
la agencia.
La agencia de
noticias restablece
las contraseñas de
la red y consigue
bloquear los
25 intentos del
SEA de volver
a acceder.
A las dos horas
del primer mensaje de
phishing, el SEA obtuvo
las credenciales del
sitio web principal de la
agencia de noticias.
6
DÍA 3
A las dos horas del primer mensaje de phishing, el SEA obtuvo las credenciales
del sitio web principal de la agencia de noticias. Los usuarios se autenticaban
en la empresa por medio de su infraestructura LDAP. Utilizando las credenciales
comprometidas, el SEA aprovechó esta configuración para autenticarse
directamente en el sistema de gestión de contenidos, que era externo.
A partir de aquí, pudo manipular los artículos publicados.
Con tres horas de intrusión, el SEA había obtenido acceso a una cuenta de
correo electrónico de marketing asociada a la cuenta de Twitter de la empresa.
Sin embargo, la contraseña de la cuenta de Twitter no coincidía con ninguna de
las cuentas interceptadas del sistema de gestión de contenidos. Para superar este
obstáculo, el SEA hizo uso de la cuenta de correo electrónico de marketing para
cambiar la contraseña de Twitter de la agencia. Cuando se produjo el ataque,
Twitter no contaba con autenticación de dos factores. Con las nuevas contraseñas
de Twitter, el agresor solo tuvo que iniciar sesión en Twitter para empezar a enviar
tweets no autorizados.
Mandiant M-Trends Más allá de un fallo de seguridad
®
FIGURA 2: Mensajes de correo electrónico de phishing utilizados por el SEA
Cronología de un ataque
Tras investigar el incidente, Mandiant averiguó que los responsables de las
amenazas del SEA no habían intentado acceder a la red subyacente de la agencia
de noticias. No obstante, el grupo sí que realizó al menos 25 intentos fallidos
de autenticarse en la instancia de correo electrónico externo con credenciales
de usuario válidas dos días después de la primera intrusión. Para entonces,
la empresa ya había cambiado las credenciales de todas las cuentas de
usuario interceptadas. Por el nivel de actividad de las cuentas y los tiempos,
Mandiant cree que la intrusión la llevaron a cabo uno o dos agentes del SEA.
CONCLUSIÓN De aquí en adelante, las organizaciones deben ser conscientes de que
pueden pasar a formar parte de los daños colaterales de los conflictos políticos, entre los en los
que se produzcan ciberataques.
www.mandiant.com
7
Actividad con base en Irán
La mayoría de estos
agresores establecidos
supuestamente en
Irán se centraron en
el sector energético.
También han
atacado las redes de
diversos organismos
gubernamentales
de Estados Unidos.
Los responsables de amenazas establecidos en Irán también se
hicieron más activos a lo largo del año pasado. Aunque Irán se
ha considerado durante mucho tiempo un agresor de segundo
nivel tras China y Rusia, recientes especulaciones barajan
el interés de Irán por perpetrar ataques ofensivos contra las
redes de objetivos con infraestructuras críticas1. Se sospecha
firmemente que Irán está detrás de las infecciones de
malware de agosto de 2012 dirigidas a las redes de dos
empresas del sector energético: Saudi Aramco y RasGas
en Qatar. Los analistas del sector sugirieron que el gobierno
iraní auspició el ataque después de que unas instalaciones
nucleares iraníes se infectasen con el virus Stuxnet que, según
la opinión generalizada, fue obra de Estados Unidos e Israel.
En una publicación online, el grupo Izz ad-Din al-Qassam reivindicó la autoría
de dos ataques de denegación de servicio distribuido (DDoS) en 2012 contra
bancos estadounidenses como represalia por un vídeo antiislamista creado por
un ciudadano de EE. UU.2. Tras los ataques, altos cargos del país en materia
de defensa declararon que sospechaban que el grupo operaba fuera de Irán3, 4.
No hemos observado directamente a estos responsables de amenazas
establecidos en Irán destruir o degradar las redes de nuestros clientes. Sin
embargo, Mandiant ha investigado diversos incidentes que, sospechamos, eran
actividades de reconocimiento de redes con base en Irán. La mayor parte de estos
8
Mandiant M-Trends Más allá de un fallo de seguridad
®
incidentes estaban dirigidos al sector energético,
aunque también hemos comprobado que estos
creadores de amenazas tienen entre sus objetivos
las redes de varios organismos gubernamentales
de Estados Unidos.
Responsables de amenazas supuestamente
establecidos en Irán atacan a un organismo
del gobierno estadounidense
Los empleados de un organismo del gobierno estatal
hallaron pruebas de que alguien había accedido
a diversos sistemas de su red sin autorización.
Tras una investigación interna del departamento
de TI, se encontraron indicios de robo de datos y de
usos no autorizados de credenciales con privilegios.
La investigación de Mandiant sobre la respuesta al
incidente reveló que el responsable de la amenaza:
»»
Mantuvo un acceso administrativo de carácter local.
»»
Infectó una cuarta parte de los sistemas con malware.
»»
Transfirió más de 150 gigabytes de datos, entre los
que se incluían diagramas de la red, contraseñas
de usuario y datos de las cuentas de los
administradores del sistema y la red (información
que coincidía con el reconocimiento de redes).
En las investigaciones que hemos realizado en
Mandiant sobre la actividad supuestamente radicada
en Irán, hemos observado los siguientes detalles
lingüísticos y técnicos:
»»
Uso en un entorno cliente de una herramienta
de denegación de servicio distribuido (DDoS)
utilizada anteriormente en 2012 en ataques contra
instituciones bancarias estadounidenses atribuidos
de forma generalizada a ciberdelincuentes
establecidos en Irán
»»
Uso de shells web en los que los términos de
comandos en inglés se habían traducido al persa
»»
Visitas a foros de hackers y blogs en persa al mismo
tiempo que se llevaban a cabo intrusiones desde
numerosas direcciones IP de procedencia no iraní
»»
Múltiples personas que identificaban su ubicación
en Teherán y parecían crear activamente exploits
que habíamos observado en intrusiones a las redes
de nuestros clientes
www.mandiant.com
Las observaciones de Mandiant en torno a los supuestos
ejecutores iraníes no ponen de manifiesto ningún indicio
de que posean las herramientas y la capacidad propias
de los autores de ciberamenazas de amplio espectro
bien preparados. Utilizan herramientas de dominio
público y aprovechan únicamente vulnerabilidades
basadas en la Web, restricciones que sugieren que
tienen una capacidad relativamente limitada.
Entre los hechos indicativos de esta capacidad
limitada se incluyen los siguientes:
»»
Utilizan únicamente un grupo reducido de
herramientas a la venta y unas cuantas herramientas
personalizadas compiladas a partir de código incluido
en otros exploits de acceso público. Un agresor más
competente utilizaría herramientas personalizadas
más efectivas, como un exploit desconocido o con
código personalizado.
»»
Utilizan sus direcciones IP y dominios maliciosos
durante un año como mínimo, aunque el hecho de
que se conozcan públicamente entorpece el éxito
de sus metas. Este comportamiento indica que no
cuentan con los incentivos o los recursos necesarios
para cambiar la infraestructura.
»»
No suelen esconder las pruebas de su actividad,
utilizar técnicas que no generen pruebas forenses
ni volver al entorno atacado después de que la
víctima haya solucionado los fallos de los sistemas
comprometidos. Por eso, las víctimas han podido
detectar la intrusión.
»»
Sacan provecho principalmente de las
vulnerabilidades de sitios web externos,
en general mediante una o dos herramientas
de dominio público diseñadas para sacar partido
de vulnerabilidades temporales.
Hasta la fecha, Mandiant ha observado que estos
autores de amenazas solo atacan redes vulnerables
a herramientas de acceso público. Ha comprobado
que no insisten en un objetivo si no consiguen acceder
a su red, lo que sugiere que no han sido capaces de
adaptarse al entorno del objetivo. El robo de datos
de estos ciberdelincuentes no respondía a una meta
tangible ni a un propósito probado, lo que nos hace
creer que la finalidad de la misión era probablemente
el reconocimiento de las redes del objetivo en cuestión.
9
Figura 3: Observaciones de Mandiant sobre la actividad de amenazas de grupos
supuestamente establecidos en Irán frente a grupos establecidos en China
Establecidos en Irán
Establecidos en China
2
Sector energético y organismos estatales
33
Mayoría de sectores industriales
Limitada y basada en
las vulnerabilidades
Diversa y con independencia
de las vulnerabilidades
Herramientas de acceso público
Herramientas de acceso público
especialmente creadas y personalizadas
Fecha de las observaciones
iniciales de Mandiant
2012
Al menos desde 2006
Detección por parte de la víctima
75 %
33 %
28 días
243 días
No se ha observado
En el 40 % de los casos
Sectores objetivo
Selección de víctimas
Herramientas disponibles
Tiempo medio invertido en la
organización atacada
Segunda intrusión después del
primer incidente de seguridad
Aunque dudamos de que estos agresores establecidos
supuestamente en Irán cuenten con una verdadera
preparación en estos momentos, nada impide que
pongan a prueba y mejoren su capacidad. El carácter
cada vez más público de los debates entre Estados
Unidos y otros países, cada vez más públicas, en
torno a su capacidad ciberofensiva podrían animar a
otros ciberdelincuentes a desarrollar y poner a prueba
sus propias habilidades.
CONCLUSIÓN Aunque los autores de amenazas supuestamente establecidos en
Irán que Mandiant ha observado parecen ser menos sofisticados que otros, suponen una
amenaza creciente debido a la hostilidad histórica de Irán con respecto a los intereses
gubernamentales y empresariales de Estados Unidos. Los resultados de las negociaciones
diplomáticas entre Irán y los gobiernos occidentales sobre su programa nuclear podrían ser
cruciales en el impacto final de los creadores de amenazas establecidos en Irán.
10
Mandiant M-Trends Más allá de un fallo de seguridad
®
Crédito convertido en efectivo
En 2013 no solo nos enfrentamos a ciberoperaciones políticas.
Mandiant respondió a un número creciente de incidentes
de robo financiero, muchos de ellos dirigidos al sector del
comercio minorista. En todos los incidentes que investigamos,
fue un tercero —normalmente uno de los principales bancos
o marcas de tarjetas de crédito— quien informó al comercio
del ataque. Sin embargo, en algunos casos las fuerzas de
seguridad se encargaron de comunicárselo a las víctimas.
Los autores de la amenaza mantuvieron su acceso a los
sistemas vulnerados durante un periodo de hasta seis meses.
Los responsables de la amenaza buscaban los datos almacenados en las pistas
de la banda magnética de las tarjetas de crédito. Hay dos tipos de datos: los de
la pista 1 y los de la pista 2. Los datos de la pista 1 incluyen información como
el número de cuenta principal, la fecha de caducidad y el nombre del titular
de la tarjeta. Los datos de la pista 2 incluyen el número de cuenta principal
y la fecha de caducidad, entre otros. Los agresores atacaron servidores,
controladores y terminales punto de venta basados en Windows para obtener
esta información, que les permitiría falsificar tarjetas de crédito. A lo largo de
los últimos diez años, Mandiant ha combatido diversas intrusiones en el sector
minorista, muchas de ellas llevadas a cabo de forma similar. Sin embargo, hay dos
diferencias significativas que caracterizaron los incidentes que combatimos en
2013: el vector de ataque inicial y el método que los delincuentes utilizaron para
obtener los datos del titular de la tarjeta desde los sistemas punto de venta.
www.mandiant.com
En 2013, en las
intrusiones llevadas
a cabo en el sector
minorista se utilizó
un nuevo vector de
ataque inicial y los
delincuentes emplearon
nuevos métodos para
obtener datos de los
titulares de tarjetas de
crédito desde sistemas
punto de venta remotos.
11
Figura 4: Compra de ACCESO mediante REDES DE BOTS
2
1
Una estación de trabajo de un entorno
corporativo de un comercio minorista
es infectada por un conocido
troyano bancario.
El dueño de la red de bots identifica
al comercio minorista como un objetivo
de gran valor y actualiza la puerta trasera
a una versión más sigilosa para
evitar ser detectado
por el antivirus.
Operador de la
red de bots
M
RO
MP
CO
Com
Sede central del comercio minorista
4
Tres miembros de la organización criminal
cargan otras utilidades para desplazarse
lateralmente y establecer otras puertas
traseras para mantener el acceso.
3
Vector de ataque inicial
Normalmente, los ciberdelincuentes atacaban
y sacaban provecho de las aplicaciones web externas
de las empresas agredidas. Después de comprometer
las aplicaciones web, se desplazaban por el entorno
lateralmente. En los incidentes a los que Mandiant
respondió en 2013, los autores localizaron métodos
de entrada mucho más sencillos: simplemente
obtuvieron acceso directo a los sistemas previamente
vulnerados e infectados por el dueño de una red
de bots. Aunque Mandiant no tiene en su poder
ninguna prueba concluyente de cómo se produjeron
estas transacciones, parece probable que el agresor
comprase el acceso o negociase para obtenerlo.
Identificamos una estación de trabajo de un usuario
en el entorno corporativo del comercio minorista
agredido que se había infectado con un troyano
12
Ciberdelincuente
Tres días después, una organización criminal
especializada en el robo de tarjetas de crédito
consigue que el propietario de la red de bots
le otorgue acceso a la puerta trasera.
bancario común, un elemento de malware de
consumo que suele usarse para interceptar las
credenciales bancarias de los usuarios. En un plazo
de menos de 24 horas después de la infección inicial,
el propietario de la red de bots actualizó la puerta
trasera a una versión más sigilosa diseñada para
evitar su detección por parte de productos antivirus.
Tres días después, una organización criminal
especializada en el robo de datos de titulares de
tarjetas de crédito accedió al troyano modificado
para introducirse en el entorno de la víctima
y cargar otras herramientas para poder desplazarse
lateralmente. También cargaron puertas traseras que
habían adquirido del propietario de la red de bots.
Estas puertas traseras les permitieron mantener
el acceso al entorno de la víctima.
Mandiant M-Trends Más allá de un fallo de seguridad
®
Com
Figura 5: Cómo obtuvieron los agresores acceso a sistemas
punto de venta de establecimientos
1
2
3
Los ciberdelincuentes
aprovecharon pequeños
errores de configuración
en la infraestructura para
identificar los sistemas con
acceso directo a los terminales punto de venta (POS).
Servidor del agresor
Servidor
pivote
Una controladora de
dominio, que ofrecía
autenticación para las
oficinas de la empresa
y las tiendas, proporcionó
el punto vulnerable.
El malware de recopilación
de tarjetas de crédito
desplegado en cada
registro buscó en la
memoria de procesos de
la aplicación punto de
venta los datos de banda
magnética almacenados
en los formatos de pista 1
y pista 2 (ISO/IEC 7813).
Compan
Compan
Entorno
PCI
POS
Sistema 1
Todas las víctimas a las que Mandiant prestó sus
servicios en 2013 hacían uso de un entorno conforme
con la norma de seguridad PCI. En este caso, los
perpetradores aprovecharon pequeños errores de
configuración en la infraestructura para identificar los
equipos con acceso directo a los sistemas punto de
venta. Un controlador de dominio, que proporcionaba
autenticación para las oficinas y los establecimientos
de la empresa, constituyó el punto vulnerable.
Los agresores utilizaron las credenciales del
administrador de dominio interceptadas para
ejecutar un script de procesamiento por lotes de
Windows en el servidor del controlador de dominio
y desplegar malware de recopilación de datos de
POS
Sistema 2
Tienda 1
Despliegue de herramientas de
recopilación de datos en registros remotos
www.mandiant.com
CO
Red
corporativa
ISE
OM
R
MP
POS
Sistema 1
POS
Sistema 2
Tienda 2
POS
Sistema 1
POS
Sistema 2
Tienda 3
tarjetas. En uno de los casos, el malware infectó más
de 1000 registros que ejecutaban software punto de
venta en sistemas operativos Microsoft® Windows® XP
en cientos de tiendas.
Acceso a los datos de titulares de tarjetas
El malware de recopilación de datos de tarjetas
desplegado en cada registro realizó búsquedas en la
memoria de proceso de la aplicación punto de venta
para obtener los datos de las bandas magnéticas
almacenados en las pistas 1 y 2, según el formato
que estipula la norma ISO/IEC 7813. Los autores
aprovecharon las tareas programadas de Windows
para ejecutar el malware cada hora durante el horario
comercial. El malware extrajo los datos, los codificó
y los almacenó en una tabla de base de datos
temporal en el registro.
13
Recomendaciones para una acción inmediata
Los casos de ciberdelincuencia contra minoristas estadounidenses están
aumentando, en parte debido a que las tecnologías de chip y PIN dirigidas a reducir
el fraude con las tarjetas de crédito aún no se han adoptado de forma generalizada
en Estados Unidos. Este cambio de rumbo hacia una tecnología más segura para las
tarjetas de crédito es inminente. Mientras tanto, los comerciantes ya pueden tomar
medidas para mejorar su propia seguridad. Recomendamos lo siguiente:
Consejo: en la
mayor parte de las
investigaciones
realizadas por Mandiant,
se ha observado que
los ciberdelincuentes
utilizaban tareas
programadas de
Windows durante
los ataques. Puede
identificar los primeros
signos de la presencia
de un agresor en su
entorno recopilando
tareas programadas de
todos los sistemas para
comprobar si presentan
actividad sospechosa.
»»
Implementar una segmentación estricta de la red con respecto al entorno
PCI: separe cualquier sistema que gestione datos de titulares de tarjetas del
resto del entorno corporativo. Exija una autenticación de dos factores para
acceder al entorno PCI.
»»
Gestione las cuentas con privilegios: cada sistema del entorno PCI debe
contar con su propia contraseña de administrador local única. Aplique el
principio de "privilegios mínimos" a los permisos de todos los grupos y cuentas,
incluidas las cuentas de servicio.
»»
Cifre los datos de los titulares de las tarjetas de crédito: plantéese utilizar
una solución punto de venta con cifrado asimétrico de extremo a extremo,
empezando por el lector de introducción de PIN.
»»
Endpoints seguros: asegúrese de que todos los sistemas fundamentales
del entorno tengan implementada una lista blanca de aplicaciones. Aplique
los parches pertinentes a todos los sistemas operativos y las aplicaciones
de terceros. Instale una solución de detección y respuesta para amenazas
dirigidas a endpoints. Plantéese implementar una solución de supervisión que
realice un seguimiento de cuándo se han creado los archivos en un sistema.
»»
Lleve a cabo una supervisión activa: supervise el entorno PCI con regularidad
por si se produce una actividad anormal, como inicios de sesión sospechosos,
la creación de archivos inesperados o un flujo de tráfico inusual.
Desde el sistema vulnerado de la oficina corporativa, los agresores usaron la
utilidad osql.exe de Microsoft para realizar consultas en las bases de datos SQL
temporales creadas en los registros. Los resultados se guardaron en un archivo
plano en el equipo comprometido y se comprimieron mediante la utilidad de
compresión 7-Zip. El archivo comprimido se cargó entonces en un sitio web
público de transferencia de archivos.
Este método de almacenar los datos robados en una base de datos temporal antes
de extraerlos de los equipos remotos mediante una consulta SQL es bastante
interesante. Conocemos otros casos en los que el malware de recopilación de
datos guarda los resultados directamente en un archivo o transfiere los datos
automáticamente a un sitio FTP externo.
CONCLUSIÓN Los sistemas que almacenan datos de titulares de tarjetas son
objetivos lucrativos de gran calibre. Los ciberdelincuentes implementarán innovaciones y
realizarán inversiones significativas en nuevas herramientas y tácticas para robar un gran
volumen de datos de tarjetas de crédito. Suponemos que reutilizarán estas tácticas con
todas las empresas objetivo que puedan, a menudo en periodos de tráfico elevado, como
la temporada de compras del periodo vacacional.
14
Mandiant M-Trends Más allá de un fallo de seguridad
®
Robo de datos: se llevan
hasta el gato
Cuando Mandiant responde a un incidente, la primera pregunta
que suelen hacerle los clientes es "¿Por qué me han elegido
como blanco?", seguida a menudo de la reflexión "No tengo
nada que puedan robar". Nuestra respuesta, acuñada durante
muchas investigaciones en los últimos años, es cada vez con
más frecuencia "Sí, claro que lo tiene". El gobierno chino está
ampliando el alcance de sus ciberoperaciones y a los creadores
de amenazas avanzadas establecidos en China les interesa
adquirir datos sobre cómo funcionan las empresas, no solo
sobre cómo fabrican sus productos.
En anteriores informes M-Trends indicábamos que estos delincuentes ahora
eligen sus objetivos claramente fuera de la industria de la defensa y cada vez
son más las campañas intensivas de intrusión que realiza el gobierno chino para
obtener información que ayude a sus empresas públicas. Se trata de robos de
datos que trascienden la propiedad intelectual básica de una empresa e incluyen
información sobre cómo funciona la compañía y cómo toman decisiones sus
ejecutivos y principales responsables.
www.mandiant.com
15
Figura 6: Más que I+D y planos
Medio de
comunicación
Fabricante
Un fabricante
f
de sistemas de alimentación
sufrió un ataque en su red que provocó
sufri
pérdida de datos relacionados con los
la pé
proc
procesos de optimización de fabricación.
Los ciberdelincuentes robaron el contenido
de las
la cuentas de correo electrónico de los
jefes de proyecto de la división de tecnología
de la empresa.
y desarrollo
des
Compañía
energética
Una empresa de comunicación sufrió el
robo de registros financieros, planificaciones,
archivos de investigación, mensajes de
correo electrónico e información de la
libreta de direcciones de altos ejecutivos
y periodistas que informaban
exclusivamente sobre China.
ONG
Una compañía energética, cuyos ejecutivos
y directivos tenían comprometidas sus cuentas
de correo electrónico, sufrió un robo de datos
entre los que se que incluía información
sobre una joint venture con un gobierno
regional chino para un proyecto de
energía limpia.
16
Como resultado de un ataque, una ONG
sufrió el robo de cientos de archivos que
incluían mensajes de correo electrónico,
programas e iniciativas, planes y objetivos
estratégicos, fichas de recursos humanos,
información sobre subvenciones y actas
de reuniones.
Lo que aparece en los titulares:
Y lo que no:
Sistemas armamentísticos vulnerados del
Departamento de Defensa de EE. UU.5:
»» Misiles PAC-3
»» Aviones de combate F-35
»» Sistemas antimisiles balísticos THAAD
»» Sistemas de combate Ageis de la Marina
»» Cazas F/A-18
»» Aeronaves polivalentes V-22 Osprey
»» Helicóptero Black Hawk
»» Navío de guerra costero
Robo de datos con APT de diversa naturaleza
por parte de autores establecidos en China:
»» Mensajes de correo electrónico de ejecutivos
»» Procesos empresariales
»» Planes de negociación
»» Información presupuestaria
»» Organigramas
»» Actas de reuniones
»» Expedientes de recursos humanos
»» Programas e iniciativas
Mandiant M-Trends Más allá de un fallo de seguridad
®
Un año después del informe
sobre el grupo APT1:
¿qué ha cambiado?
La publicación del informe sobre el grupo APT1 de Mandiant
en febrero de 2013 supuso una oportunidad única de
comprobar si las revelaciones sobre la ciberactividad
auspiciada por el gobierno chino podían promover una
solución diplomática al problema del ciberespionaje nacional
en favor de las de entidades del sector privado. ¿Podría esto
trasladar el debate a las esferas presidenciales y lograr un
avance real? Durante un breve periodo de tiempo, obtuvimos
un no por respuesta.
En enero de 2013 se produjo la primera divulgación a gran escala de un grupo de
amenazas persistentes avanzadas (APT) supuestamente vinculado a la República
Popular China (RPC) que había puesto en jaque a un grupo de comunicación
clave de Estados Unidos: The New York Times. En un artículo de primera plana
publicado el 30 de enero de 2013, el New York Times reveló que una banda de
hackers establecida en China, conocido como APT12, había vulnerado sus redes
en los últimos cuatro meses6. El artículo provocó una desafiante respuesta por
parte de la RPC, que declaró que "la legislación china prohíbe cualquier acción
que atente contra la seguridad en Internet, incluida la piratería informática" y que
"acusar al ejército chino de perpetrar ciberataques sin una prueba sólida carece
de profesionalidad y fundamento"7.
www.mandiant.com
Analizamos su actividad:
Basamos nuestras
observaciones de la actividad
de los grupos APT1 y APT12
en sesiones de comando
y control (C2) activas.
Un creador de ciberamenazas
establece una conexión con el
malware en la red de la víctima
para realizar operaciones
en ella. Las sesiones C2
muestran si un operador está
involucrado activamente en
ataques a la red.
17
Al poco tiempo de que la RPC desestimara el caso de The New York Times, Mandiant
publicó el informe sobre APT1, donde presentaba pruebas que vinculaban a la banda
de hackers establecida en China con la RPC, en concreto a la unidad 61398 del
Ejército Popular de Liberación8. La RPC negó una vez más su participación y no tardó
en tildar el informe sobre el grupo APT1 de "poco profesional" y "lleno de lagunas"9.
A pesar de ello, las continuas observaciones llevadas a cabo por Mandiant de la
actividad de los grupos APT1 y APT12, medidas en sesiones de comando y control
(C2), revelaron una respuesta bien distinta entre bambalinas que sugería la posible
confirmación de que ambos grupos habían sido descubiertos.
Mandiant, basándose en comparativas entre la actividad de APT1 y APT12 durante
2013 y los tres años anteriores, cree que estos grupos de amenazas respondieron
a su desenmascaramiento público de dos maneras. En primer lugar, ambos
grupos retrasaron la vuelta a sus operaciones habituales tras los días festivos
por el Año Nuevo chino en febrero. En segundo lugar, ambos grupos cambiaron
rápidamente su infraestructura operativa para continuar con sus actividades.
A pesar de las recientes acusaciones y la consiguiente proyección internacional,
las reacciones de los grupos APT1 y APT12 indican el interés por parte de la RPC
tanto de que se oculte como de que se continúe con el robo de datos. Esto sugiere
que la RPC cree que los beneficios de sus campañas de ciberespionaje pesan
más que los costes de las posibles repercusiones internacionales.
APT1 Y APT12 INTERRUMPEN SUS OPERACIONES
Mandiant observó periodos de inactividad significativamente mayores tanto en el caso
del grupo APT1 como del grupo APT12 después del artículo de The New York Times
y el informe sobre APT1 si se compara con la actividad básica de ambos grupos
durante los tres años anteriores. El grupo APT12 reanudó sus operaciones durante
poco tiempo cinco días después de ser descubierto en el artículo de The New York
Times, pero no retomó su actividad intrusiva sistemática hasta 81 días después.
Incluso entonces, el grupo APT12 esperó a que pasasen unos 150 días después de la
publicación del artículo para reanudar los niveles de actividad previos a la divulgación.
En la Figura 8, se muestra la actividad observada desde enero hasta septiembre de
2013 (línea roja) frente a a actividad media observada entre 2011 y 2012 (línea azul).
El grupo APT1 presentó periodos igualmente prolongados de inactividad después
de su desenmascaramiento en el informe de Mandiant. La publicación del informe
coincidió con el final de la Semana Dorada, siete días festivos oficiales posteriores al
Año Nuevo chino. El grupo APT1 estuvo inactivo durante 41 días más de lo habitual
después de la Semana Dorada y tras la publicación del informe de Mandiant en
comparación con los patrones de actividad del periodo 2010-2012.
Cuando el grupo APT1 reanudó su actividad, lo hizo a un nivel inferior al habitual
antes de retomar su actividad intrusiva sistemática cerca de 160 días después
de su incriminación. En la Figura 7 se muestra la actividad del grupo APT1 de
enero a septiembre de 2013 (línea roja) en comparación con la actividad media
observada entre 2010 y 2012 (línea azul).
18
Mandiant M-Trends Más allá de un fallo de seguridad
®
Informe APT1
15
Artículo
del NYT
10
5
Figura 7: Número de sesiones C2 de APT1 en 2013 en comparación con la actividad
básica durante 2010-2012
Media
Se
pt
1-
1Ag
os
l
1Ju
n
1Ju
1M
ay
1Ab
r
M
ar
1-
Ar
tíc
ul
o
de
Añ
lN
o
YT
Nu
ev
o
In
Ch
fo
rm ino
e
AP
T1
1-
En
e
0
2013
120
Año
Nuevo Chino
100
80
Informe APT1
60
40
20
pt
s
1-
Se
1Ag
o
l
1Ju
n
1Ju
1M
ay
1Ab
r
ar
M
1-
in
o
AP
T1
e
fo
r
m
Ch
In
Media
Añ
o
Nu
ev
o
1-
1-
En
e
Fe
b
0
2013
Figura 8: Número de sesiones C2 de APT12 en 2013 en comparación con la actividad
básica durante 2011 y 2012
25
Año
Nuevo Chino
20
Informe APT1
15
Artículo
del NYT
10
5
Media
pt
s
1Se
1Ag
o
l
1Ju
n
1Ju
1M
ay
1Ab
r
ar
M
1-
Ar
tíc
ul
o
de
Añ
lN
o
YT
Nu
ev
o
In
Ch
fo
rm ino
e
AP
T1
1En
e
0
2013
120
www.mandiant.com
Año
Nuevo Chino
19
100
Figura 9: Cronología de los eventos
de 2013: APT1 y APT12
ENE
30 DE ENERO
The New York Times publica el artículo que revela
la intrusión del grupo APT12.
4 DE FEBRERO
La actividad del grupo APT12 se reanuda durante
un breve periodo de tiempo.
FEB
10 DE FEBRERO
Comienza el periodo de días festivos por el
Año Nuevo chino y la Semana Dorada.
18 DE FEBRERO
Mandiant publica un informe en el que vincula al
grupo APT1 con la unidad 61398 del ejército chino.
MAR
25 DE MARZO
La actividad del grupo APT1 se reanuda a un nivel
más bajo de lo habitual.
ABR
24 DE ABRIL
El grupo APT12 retoma su actividad a un nivel
más bajo de lo habitual.
MAY
7-8 DE JUNIO
Se celebra la cumbre presidencial entre
Estados Unidos y China.
JUN
1 DE JULIO
El grupo APT12 retoma su nivel de actividad
previo a las acusaciones.
JUL
Los periodos prolongados de inactividad tanto del
grupo APT1 como del grupo APT12 en respuesta a su
desenmascaramiento público pueden deberse a un
intento de la RPC de evaluar las posibles consecuencias
políticas tras las publicaciones y de reorganizar sus
ciberoperaciones para ocultar mejor su actividad.
APT1 Y APT12 MODIFICARON SU
INFRAESTRUCTURA OPERATIVA
Las observaciones que mantuvo Mandiant sobre
los grupos APT1 y APT12 demostraron que ambos
modificaron su infraestructura tras las revelaciones
del artículo de The New York Times y el informe
de Mandiant.
El informe sobre APT1 incluía más de 3000 indicadores,
entre ellos nombres de dominio, direcciones IP,
certificados de cifrado y hashes de malware basados
en el algoritmo MD5. Después de publicar su informe,
Mandiant observó que el grupo APT1 modificó gran
parte de su arquitectura operativa y sustituyó lo que
se había divulgado en el informe sobre su actividad.
Aunque el artículo de The New York Times no había
revelado la infraestructura operativa del grupo
APT12, Mandiant observó que el grupo también
había implementado cambios en su arquitectura
operativa y había sustituido toda la infraestructura
que los investigadores habían podido sacar a la luz
a raíz de la publicación del artículo10, 11. Mandiant
cree que los cambios en las infraestructuras de los
grupos APT1 y APT12 se debieron directamente
a su divulgación pública, ya que ambos modificaron
aquello que había quedado expuesto y mantuvieron
otras infraestructuras. Creemos que los grupos APT1
y APT12 cambiaron la arquitectura operativa que se
había divulgado en un intento de ocultar sus futuras
operaciones de robo de datos.
22 DE JULIO
El grupo APT1 retoma su nivel de actividad
previo a las acusaciones.
20
Mandiant M-Trends Más allá de un fallo de seguridad
®
Figura 10: Cambios en la infraestructura de APT1 tras la publicación del informe de Mandiant
Nuevas
direcciones
IP asociadas
a la misma
familia de
malware
18 de febrero de 2013
Se publica el informe
APT1 de Mandiant
de
de ju
20 nio
13
16
27
d
de e a
20 bril
13
de
de ma
20 rzo
13
08
de
de en
20 ero
13
17
vi
de em
20 bre
12
28
de
no
pt
i
de em
20 bre
12
9
de
se
de
a
de go
20 sto
12
20
1
d
de e ju
20 lio
12
Direcciones
IP asociadas
a la familia
de malware
utilizada
por APT1 y
descubierta
por
Mandiant
APT1 cambia a direcciones IP utilizadas por una familia de malware
NO PUEDE NI (PROBABLEMENTE) QUIERE PARAR
Las reacciones de los grupos APT1 y APT12 a su difusión pública sugieren
que la RPC, a pesar de negar públicamente su implicación en robos de datos
auspiciados por el Estado, no está dispuesta al cese permanente de sus
ciberoperaciones de intrusión. El uso continuo de las ciberoperaciones por parte
de la RPC puede poner en peligro las futuras relaciones de China con Estados
Unidos. El presidente Obama hizo del ciberespionaje de China el tema principal de
la cumbre presidencial de junio de 2013 entre ambos países, prestando máxima
atención a un problema que el asesor de seguridad nacional Tom Donilon calificó
como "clave de cara al futuro" de las relaciones entre Estados Unidos y China12.
No obstante, según recientes observaciones de Mandiant de la actividad de APT
establecida en China, parece que la RPC no tiene intención de abandonar sus
campañas de ciberespionaje, a pesar de las advertencias expresas del gobierno
de Obama de que su persistencia "iba a suponer un problema muy difícil en las
relaciones económicas" entre los dos países13.
www.mandiant.com
21
Conclusión
A lo largo del año pasado, observamos un cambio drástico
en la frecuencia del debate público en torno a los fallos de
seguridad. Las organizaciones atacadas están ahora más
dispuestas a hablar abiertamente sobre las intrusiones
que han sufrido y los responsables políticos expresan
sus inquietudes tanto a nivel nacional como internacional.
Sin embargo, el mayor debate y conocimiento de los fallos
de seguridad no ha sido suficiente para cambiar la realidad
actual: los fallos de seguridad son inevitables.
Hay una tendencia clara: las organizaciones son más conscientes de las
ciberamenazas que nunca, pero los autores de las amenazas también han
evolucionado para abarcar un ámbito más amplio de objetivos y utilizan un conjunto
de aptitudes más extenso para lograr sus objetivos. En este informe, hemos analizado
casos recientes en los que están involucrados hacktivistas, nuevos creadores de
amenazas, ciberdelincuentes y grupos auspiciados por países que atacan a agencias
informativas, organismos gubernamentales, empresas y organizaciones sin ánimo de
lucro. Aunque las organizaciones objetivo han mejorado los sistemas de defensa de
sus redes, el agresor típico sigue siendo capaz de acceder y navegar por las redes sin
ser detectado durante más de ocho meses. Por otro lado, otros autores de amenazas,
como los hacktivistas, pueden trasmitir su mensaje y dañar a una organización
mediante tácticas sencillas y un poco de empeño.
No obstante, este panorama de amenazas en evolución, aunque complicado,
no tiene por qué resultar desalentador. Para combatir las brechas de seguridad,
las organizaciones necesitan personas debidamente cualificadas y visibilidad de
sus redes, endpoints y registros. Asimismo, necesitan información oportuna sobre
amenazas que les permita identificar actividades maliciosas con mayor celeridad.
Cuando ocurre lo inevitable, la rapidez y el modo de actuar son cruciales.
Los fallos de seguridad son inevitables. ¿Cómo piensa actuar ante ellos?
22
Mandiant M-Trends Más allá de un fallo de seguridad
®
Notas finales
1
Congreso de los Estados Unidos: “Subcommittee Hearing: Cyber Threats from China, Russia and
Iran: Protecting American Critical Infrastructure”. 20 de marzo de 2013. http://homeland.house.gov/
hearing/subcommittee-hearing-cyber-threats-china-russia-and-iran-protecting-american-critical
2
Perlroth, Nicole. Hardy, Quentin. "Bank Hacking was the Work of Iranians, Officials Say".
The New York Times, The New York Times Company. 8 de enero de 2013. Web. 19 de diciembre de
2013. http://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-usofficials-say.html?_r=0
3
Perlroth, Nicole. Hardy, Quentin. "Bank Hacking was the Work of Iranians, Officials Say".
The New York Times, The New York Times Company. 8 de enero de 2013. Web. 19 de diciembre de
2013. http://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-usofficials-say.html?_r=0
4
Gorman, Siobhan. "Iran Renews Internet Attacks on U.S. Banks". The Wall Street Journal,
Dow Jones & Company. 17 de octubre de 2012. Web. 19 de diciembre de 2013.
5
"Plans for More Than Two Dozen U.S. Weapons Systems — Including an F-35 Fighter — Have Been
Stolen by Chinese Hackers, Claims Pentagon". The Daily Mail, Associated Newspapers, Ltd.
28 de mayo de 2013. Web. 12 de noviembre de 2013.
6
Perlroth, Nicole. "Hackers in China Attacked the Times for Last 4 Months". The New York Times,
The New York Times Company. 30 de enero de 2013. Web. 16 de diciembre de 2013.
7
Perlroth, Nicole. "Hackers in China Attacked the Times for Last 4 Months". The New York Times,
The New York Times Company. 30 de enero de 2013. Web. 16 de diciembre de 2013.
8
"APT1: Exposing One of China’s Cyber Espionage Units". Mandiant. 18 de febrero de 2013. Web.
16 de diciembre de 2013.
9
"Chinese Media Slam Cyber-Hacking Report". Voice of America News, Voice of America. 21 de
febrero de 2013. Web. 16 de diciembre de 2013.
10
Blog de FireEye: http://www.fireeye.com/blog/technical/malware-research/2013/02/an-encounterwith-trojan-nap.html
11
Trend Micro: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/
wp_ixeshe.pdf
12
Neuman, Scott. "Chinese Cyber-Hacking Discussed at Obama-Xi Summit". The Two-Way,
National Public Radio. 9 de junio de 2013. Web. 17 de diciembre de 2013.
13
Neuman, Scott. "Chinese Cyber-Hacking Discussed at Obama-Xi Summit". The Two-Way,
National Public Radio. 9 de junio de 2013. Web. 17 de diciembre de 2013.
www.mandiant.com
23
Acerca de Mandiant®
Mandiant ha expulsado a autores de amenazas de las redes informáticas y los
endpoints de cientos de clientes en todos los sectores destacados. Somos la
opción definitiva para las empresas incluidas en la lista Fortune 500 y los
organismos gubernamentales que desean protegerse y actuar ante incidentes
de seguridad importantes de cualquier clase.
La mayoría de las operaciones selectivas avanzadas se desarrollan sin ser detectadas
y proliferan sin defensa alguna. Cuando se producen intrusiones, la combinación
única de Mandiant de recursos humanos cualificados y liderazgo tecnológico,
junto con la información sobre amenazas de FireEye, ayuda a las organizaciones
a detectarlas, combatirlas y neutralizarlas antes de que sus autores consigan
alcanzar su objetivo. Nuestros ingenieros y consultores de seguridad cuentan con
las autorizaciones de seguridad gubernamentales de máximo nivel, tienen 11 libros
en su haber y siempre están en boca de las principales agencias de prensa.
Mandiant tiene su sede principal en Alexandria, Virginia (Estados Unidos) y cuenta
con oficinas en Nueva York, Los Ángeles, San Francisco, Reino Unido e Irlanda.
Para obtener más información sobre Mandiant, visite www.mandiant.com,
lea nuestro blog, M-Unition, o síganos en Twitter en @Mandiant o en Facebook
en www.facebook.com/mandiantcorp.
Acerca de FireEye™
FireEye ayuda a las empresas a defenderse de la última generación de
ciberataques. Combinando nuestras plataformas de prevención de amenazas,
nuestra gente y nuestros datos, ayudamos a eliminar las consecuencias de las
intrusiones mediante la detección de los ataques, la notificación del riesgo y el
suministro de lo necesario para resolver rápidamente los incidentes de seguridad.
24
Mandiant M-Trends Más allá de un fallo de seguridad
®
www.mandiant.com
Descargar