m- trends más allá de un fallo de seguridad · 2016-03-08 · 4 mandiant m-trends ® más allá...
TRANSCRIPT
Más allá de un fallo de seguridad
Trends®
Informe SoBre amenazaS de 2014
ÍndIce
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Daños colaterales: el Ejército Electrónico Sirio se hace literal mente con todos los titulares . . . . . . . . . . . . . . . . . . . . . . . 4
Actividad con base en Irán . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Crédito convertido en efectivo . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Robo de datos: se llevan hasta el gato . . . . . . . . . . . . . . . . . . . . 15
Un año después del informe sobre el grupo APT1: ¿qué ha cambiado? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Notas finales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Acerca de Mandiant® . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Acerca de FireEye™ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
© 2014 Mandiant, A FireEye Company. Reservados todos los derechos.
1www.mandiant.com
IntroduccIón
La ciberseguridad se ha convertido en algo convencional. Es increíble lo rápido que ha pasado de ser un problema específico de los entornos de TI a ser un problema del consumidor y un asunto prioritario en las salas de juntas. Todo el mundo es consciente de lo que los expertos en seguridad ya sabían desde hace mucho tiempo: la seguridad perfecta no existe. Los fallos de seguridad son inevitables, porque los responsables de las amenazas que se lo proponen siempre encuentran un modo de abrirse camino por las brechas.
A lo largo del año pasado, Mandiant observó cómo muchas empresas mejoraron modestamente su capacidad de combatir las brechas de seguridad. Un hecho esperanzador es que muchas organizaciones están detectando los ataques de forma más rápida. En 2013, el número medio de días que los agresores estuvieron presentes en la red de una víctima hasta ser descubiertos fue de 229, en comparación con los 243 registrados en 2012. Sin embargo, las organizaciones aún tienen dificultades para detectar cuándo han sufrido una intrusión. En 2013, solo el 33 % de las organizaciones a las que Mandiant prestó sus servicios se había percatado de la intrusión, frente a un 37 % en 2012.
No obstante, hay un aspecto que ha cambiado radicalmente: la disposición de las empresas atacadas y los responsables políticos a hablar más abiertamente sobre los fallos de seguridad a los que se enfrentan. The New York Times y otros medios han publicado relatos sobre sus propios incidentes. El presidente Obama abordó la cuestión de las ciberamenazas en su discurso anual del Estado de la Nación. A esto se suma la proliferación de las intrusiones a gran escala en el comercio minorista; es raro aquel que no ha sufrido las consecuencias de un fallo de seguridad, ya sea por el robo de los datos de su tarjeta de crédito o de las credenciales de un sitio web comercial.
En el informe M-Trends de este año, le ofrecemos la perspectiva de Mandiant sobre la evolución de las amenazas. Nuestros análisis y datos provienen directamente de nuestra experiencia al responder a los incidentes de seguridad de cientos de clientes en más de 30 sectores distintos. Además, realizamos un seguimiento de una amplia variedad de agresores e indicadores sometidos a debate público, y ponemos en contexto nuestro análisis en los casos pertinentes.
Hay un hecho meridianamente claro: la lista de posibles objetivos ha aumentado y la cancha de juego es mayor. Los autores de ciberamenazas están ampliando las finalidades de las intrusiones en las redes informáticas para cumplir una serie de objetivos, tanto en materia de economía como de política. No están interesados únicamente en apoderarse de las joyas de la corona de las empresas, sino también en encontrar modos de hacer campaña de su ideología, causar daños físicos e influir en las decisiones políticas globales.
Cada vez más, las empresas privadas se incluyen entre los daños colaterales de los conflictos políticos. Dado que no parece haber una solución diplomática a la vista, la capacidad de detectar y combatir los ataques ha cobrado más importancia que nunca.
2 Mandiant M-Trends® Más allá de un fallo de seguridad
LAS VÍCTIMAS EN CIFRAS
Sectores objetivo de los ciberdelincuentes
Tendencias del correo electrónico de phishing
Los responsables de las ciberamenazas siguen atacando a una amplia variedad de sectores. Aunque las organizaciones detectan los ataques dos semanas antes que hace un año, es menor la probabilidad de lo hagan por sí mismas.
Servicios financieros
Medios decomunicación
y entretenimiento
Fabricación
10 %
Industria aeroespacial y defensa
6 %
Servicios empresariales
4 %Comercio minorista
4 %
Construcción
4 %
Fabricación de productos químicos
4 %
Telecomunicaciones
4 %
Productos farmacéuticosy biotecnología
4 %
Educación
3 %
Transporte
3 %
Servicios jurídicos
3 %
Otros
23 %
Cómo se detectan los ataques
El
33 %
El
67 %
de las víctimas descubren el ataque internamente
de las víctimas fueron informadas por una entidad externa
229 días de media de presencia de los grupos de amenazas en la red de una víctima antes de la detección
14 días menos que en 2012
Presencia más larga: 2287 días
El 44 %de los mensajes de phishing observados estaban relacionados con TI y a menudo intentaban suplantar el departamento de TI de la empresa atacada
Lun
Mar
Miér
Jue
Vie
Sáb
DomEl 93 % de los mensajes de correo electrónico de phishing se enviaron durante días laborables
Tiempo desde la primera prueba de amenaza hasta el descubrimiento del ataque
Análisis del panorama de las ciberamenazas
Se ha reducido, comparado con el 37 % de 2012
En 2013, Mandiant observó un aumento de la actividad de los ciberdelincuentes en dos sectores claves.
hasta el 15 %desde el 11 %
hasta el 13 %desde el 7 %
3www .mandiant .com
LAS VÍCTIMAS EN CIFRAS
Sectores objetivo de los ciberdelincuentes
Tendencias del correo electrónico de phishing
Los responsables de las ciberamenazas siguen atacando a una amplia variedad de sectores. Aunque las organizaciones detectan los ataques dos semanas antes que hace un año, es menor la probabilidad de lo hagan por sí mismas.
Servicios financieros
Medios decomunicación
y entretenimiento
Fabricación
10 %
Industria aeroespacial y defensa
6 %
Servicios empresariales
4 %Comercio minorista
4 %
Construcción
4 %
Fabricación de productos químicos
4 %
Telecomunicaciones
4 %
Productos farmacéuticosy biotecnología
4 %
Educación
3 %
Transporte
3 %
Servicios jurídicos
3 %
Otros
23 %
Cómo se detectan los ataques
El
33 %
El
67 %
de las víctimas descubren el ataque internamente
de las víctimas fueron informadas por una entidad externa
229 días de media de presencia de los grupos de amenazas en la red de una víctima antes de la detección
14 días menos que en 2012
Presencia más larga: 2287 días
El 44 %de los mensajes de phishing observados estaban relacionados con TI y a menudo intentaban suplantar el departamento de TI de la empresa atacada
Lun
Mar
Miér
Jue
Vie
Sáb
DomEl 93 % de los mensajes de correo electrónico de phishing se enviaron durante días laborables
Tiempo desde la primera prueba de amenaza hasta el descubrimiento del ataque
Análisis del panorama de las ciberamenazas
Se ha reducido, comparado con el 37 % de 2012
En 2013, Mandiant observó un aumento de la actividad de los ciberdelincuentes en dos sectores claves.
hasta el 15 %desde el 11 %
hasta el 13 %desde el 7 %
moleStIaS roBo de datoS cIBerdelIncuencIa
HacktIvISmo ataqueS a la red
objetivo
Acceso y propagación
Ventaja económica o política
Beneficio económico
Difamación, publicidad y activismo político
Escalación y destrucción
ejemplo Redes de bots y spam
Robo de la propiedad intelectual
Robo de tarjetas de crédito
Manipulación de sitios web
Destrucción de infraestructura
crítica
Selectivo
carácter Automatizado Persistente Oportunista Notorio Conflictivo
4 Mandiant M-Trends® Más allá de un fallo de seguridad
dañoS colateraleS: el ejércIto electrónIco SIrIo Se Hace lIteralmente con todoS loS tItulareS
A lo largo del año pasado, diversos conflictos políticos internacionales originaron ciberataques que afectaron al sector privado. Mandiant respondió a un creciente número de incidentes en los que el Ejército Electrónico Sirio (SEA, por sus siglas en inglés) consiguió acceder a sitios web externos y a cuentas de redes sociales de diversas organizaciones con el fin principal de hacer campaña de su causa política.
Según las observaciones que Mandiant ha realizado de la actividad del SEA a lo largo de 2013, el grupo utilizó dos tácticas para obtener acceso a sus empresas objetivo: enviar mensajes de correo electrónico de phishing desde cuentas internas y, a partir de agosto de 2013, atacar a diversos proveedores de servicios para dañar a sus víctimas a través de ellos.
Mandiant cree que el SEA continuará realizando intrusiones contra sus blancos de peso con el fin de incrementar la publicidad del régimen sirio y mostrar su apoyo a su criticado presidente, Bachar el Asad. Aunque estas intrusiones del SEA no han pasado de la manipulación de algunos sitios web para incluir el logotipo del SEA e imágenes de Asad, es evidente que han conseguido llamar la atención a nivel internacional. Y, lo que es más significativo, han logrado aumentar el miedo a los ciberataques entre los gobiernos y las empresas.
5www.mandiant.com
¿Qué es el seA y cuáles son sus MoTivAciones?
El presidente sirio Bachar el Asad dedicó la mayor parte de 2013 a luchar por mantener el control del país. Mientras tanto, el Ejército Electrónico Sirio (SEA, por sus siglas en inglés), un grupo hacktivista relacionado con el régimen, libró una campaña online en paralelo contra los detractores de Asad. Desde su aparición en 2011, el SEA ha conseguido infiltrarse en más de 40 organizaciones, principalmente los sitios web y las cuentas de las redes sociales de destacadas agencias informativas occidentales.
La finalidad de la ciberactividad del SEA parece ser dar publicidad y obtener apoyo para el asediado presidente atacando a los supuestos opositores del régimen y manipulando sus sitios web. El SEA ha dirigido sus ataques principalmente a medios informativos occidentales, en algunos casos por publicar artículos que, según el SEA, eran tendenciosos e iban en contra del controvertido líder.
El SEA ganó fuerza a lo largo de 2013, debido al mayor número de intrusiones y ataques altamente visibles contra las empresas objetivo.
Las intrusiones del SEA analizadas públicamente pusieron de manifiesto cómo utilizó el grupo mensajes de correo electrónico de phishing para recopilar credenciales de inicio de sesión válidas y acceder a las redes seleccionadas. Aunque las agencias informativas occidentales siguen siendo el blanco principal del SEA, en agosto de 2013 se produjo un claro cambio en la táctica de este grupo, que comenzó a atacar a más proveedores de servicios, incluidos SocialFlow, Outbrain, Melbourne IT y el Registro de Dominios de Qatar.
En la intrusión efectuada en octubre en el Registro de Dominios de Qatar, el SEA se introdujo en sitios gubernamentales y frecuentados de Qatar, incluidos Al Jazeera y el Ministerio de Asuntos Exteriores. El SEA ha seguido utilizando mensajes de correo electrónico de phishing como método de intrusión inicial.
cAso PRácTico: EL SEA ATACA UNA AGENCIA DE NOTICIAS
En 2013, el SEA manipuló el sitio web público de una agencia de noticias y publicó mensajes desde las cuentas de Twitter de esta dejando claro que "el Ejército Electrónico Sirio había estado allí". El SEA ejecutó una campaña rapidísima de phishing que permitió al grupo acceder a las cuentas de correo electrónico de diversos empleados, a un sistema de gestión de contenidos y a la cuenta de Twitter de la empresa. Los mensajes de correo electrónico de phishing contenían un enlace a un sitio web que se hacía pasar por la página de inicio de sesión del correo electrónico externo de la agencia de noticias. El sitio web recopiló las credenciales de empleados desprevenidos que introdujeron sus datos de inicio de sesión.
Los mensajes de correo electrónico de phishing del SEA eran breves y contenían cebos informativos con URL visibles de supuestas noticias. Las URL ocultaban enlaces incrustados que se dirigían a sitios maliciosos. Los temas coincidían con las últimas
noticias acontecidas ese mismo día. Esta técnica se aplicó de forma sistemática en todos los mensajes de correo electrónico de phishing.
Después de la campaña inicial de phishing, el SEA utilizó las credenciales robadas para acceder al sistema de correo electrónico externo de la agencia de noticias, que no requería autenticación de dos factores. Con estas cuentas en su poder, el SEA inició una segunda campaña de phishing dirigida en un principio a listas de distribución de correo electrónico específicas. Su meta era obtener las credenciales de las cuentas de usuario que habían accedido al sistema de gestión de contenidos del sitio principal y a la cuenta de Twitter de la empresa. Finalmente, el SEA envió miles de mensajes de correo electrónico de phishing a un elevado número de empleados en un periodo de tres horas. A pesar de tener un éxito de solo el 0,04 %, los mensajes de correo electrónico de phishing permitieron al SEA recopilar las credenciales necesarias para acceder a los recursos que le interesaban.
6 Mandiant M-Trends® Más allá de un fallo de seguridad
fIgura 1: CRoNologíA DEl ATAqUE DEl SEA A UNA AgENCIA DE NoTICIAS
A las dos horas del primer mensaje de phishing, el SEA obtuvo las credenciales del sitio web principal de la agencia de noticias. Los usuarios se autenticaban en la empresa por medio de su infraestructura LDAP. Utilizando las credenciales comprometidas, el SEA aprovechó esta configuración para autenticarse directamente en el sistema de gestión de contenidos, que era externo. A partir de aquí, pudo manipular los artículos publicados.
Con tres horas de intrusión, el SEA había obtenido acceso a una cuenta de correo electrónico de marketing asociada a la cuenta de Twitter de la empresa. Sin embargo, la contraseña de la cuenta de Twitter no coincidía con ninguna de las cuentas interceptadas del sistema de gestión de contenidos. Para superar este obstáculo, el SEA hizo uso de la cuenta de correo electrónico de marketing para cambiar la contraseña de Twitter de la agencia. Cuando se produjo el ataque, Twitter no contaba con autenticación de dos factores. Con las nuevas contraseñas de Twitter, el agresor solo tuvo que iniciar sesión en Twitter para empezar a enviar tweets no autorizados.
a las dos horas del primer mensaje de phishing, el Sea obtuvo las credenciales del sitio web principal de la agencia de noticias.
DíA 1 DíA 2 DíA 3
El SEA ataca inicialmente a una agencia de noticias con mensajes de correo electrónico de phishing.
Los autores de amenazas del SEA inician una sesión en cuentas de correo web con las credenciales robadas de los empleados.
El SEA envía una segunda tanda de mensajes desde las cuentas de correo electrónico internas.
El SEA utiliza credenciales válidas obtenidas a partir de su campaña de phishing para acceder a la red de la agencia de noticias y para autenticarse en el sistema de gestión de contenidos.
La agencia de noticias restablece las contraseñas de la red y consigue bloquear los 25 intentos del SEA de volver a acceder.
El SEA manipula el sitio web público de la agencia de noticias y publica artículos y tweets no autorizados desde los sitios web y la cuenta de Twitter de la agencia.
26 horas después4 horas después3 horas después31 min después22 min despuésAtaque de phishing selectivo inicial
7www.mandiant.com
fIgura 2: MENSAjES DE CoRREo ElECTRóNICo DE PhIShINg UTIlIzADoS PoR El SEA
Cronología de un ataqueTras investigar el incidente, Mandiant averiguó que los responsables de las amenazas del SEA no habían intentado acceder a la red subyacente de la agencia de noticias. No obstante, el grupo sí que realizó al menos 25 intentos fallidos de autenticarse en la instancia de correo electrónico externo con credenciales de usuario válidas dos días después de la primera intrusión. Para entonces, la empresa ya había cambiado las credenciales de todas las cuentas de usuario interceptadas. Por el nivel de actividad de las cuentas y los tiempos, Mandiant cree que la intrusión la llevaron a cabo uno o dos agentes del SEA.
concluSIón De aquí en adelante, las organizaciones deben ser conscientes de que pueden pasar a formar parte de los daños colaterales de los conflictos políticos, entre los en los que se produzcan ciberataques .
8 Mandiant M-Trends® Más allá de un fallo de seguridad
actIvIdad con BaSe en Irán
Los responsables de amenazas establecidos en Irán también se hicieron más activos a lo largo del año pasado. Aunque Irán se ha considerado durante mucho tiempo un agresor de segundo nivel tras China y Rusia, recientes especulaciones barajan el interés de Irán por perpetrar ataques ofensivos contra las redes de objetivos con infraestructuras críticas1. Se sospecha firmemente que Irán está detrás de las infecciones de malware de agosto de 2012 dirigidas a las redes de dos empresas del sector energético: Saudi Aramco y RasGas en Qatar. Los analistas del sector sugirieron que el gobierno iraní auspició el ataque después de que unas instalaciones nucleares iraníes se infectasen con el virus Stuxnet que, según la opinión generalizada, fue obra de Estados Unidos e Israel.
En una publicación online, el grupo Izz ad-Din al-Qassam reivindicó la autoría de dos ataques de denegación de servicio distribuido (DDoS) en 2012 contra bancos estadounidenses como represalia por un vídeo antiislamista creado por un ciudadano de EE. UU.2. Tras los ataques, altos cargos del país en materia de defensa declararon que sospechaban que el grupo operaba fuera de Irán3, 4.
No hemos observado directamente a estos responsables de amenazas establecidos en Irán destruir o degradar las redes de nuestros clientes. Sin embargo, Mandiant ha investigado diversos incidentes que, sospechamos, eran actividades de reconocimiento de redes con base en Irán. La mayor parte de estos
la mayoría de estos agresores establecidos supuestamente en Irán se centraron en el sector energético. también han atacado las redes de diversos organismos gubernamentales de estados unidos.
9www.mandiant.com
incidentes estaban dirigidos al sector energético, aunque también hemos comprobado que estos creadores de amenazas tienen entre sus objetivos las redes de varios organismos gubernamentales de Estados Unidos.
Responsables de amenazas supuestamente establecidos en Irán atacan a un organismo del gobierno estadounidense
Los empleados de un organismo del gobierno estatal hallaron pruebas de que alguien había accedido a diversos sistemas de su red sin autorización. Tras una investigación interna del departamento de TI, se encontraron indicios de robo de datos y de usos no autorizados de credenciales con privilegios.
La investigación de Mandiant sobre la respuesta al incidente reveló que el responsable de la amenaza:
»» Mantuvo un acceso administrativo de carácter local.
»» Infectó una cuarta parte de los sistemas con malware.
»» Transfirió más de 150 gigabytes de datos, entre los que se incluían diagramas de la red, contraseñas de usuario y datos de las cuentas de los administradores del sistema y la red (información que coincidía con el reconocimiento de redes).
En las investigaciones que hemos realizado en Mandiant sobre la actividad supuestamente radicada en Irán, hemos observado los siguientes detalles lingüísticos y técnicos:
»» Uso en un entorno cliente de una herramienta de denegación de servicio distribuido (DDoS) utilizada anteriormente en 2012 en ataques contra instituciones bancarias estadounidenses atribuidos de forma generalizada a ciberdelincuentes establecidos en Irán
»» Uso de shells web en los que los términos de comandos en inglés se habían traducido al persa
»» Visitas a foros de hackers y blogs en persa al mismo tiempo que se llevaban a cabo intrusiones desde numerosas direcciones IP de procedencia no iraní
»» Múltiples personas que identificaban su ubicación en Teherán y parecían crear activamente exploits que habíamos observado en intrusiones a las redes de nuestros clientes
Las observaciones de Mandiant en torno a los supuestos ejecutores iraníes no ponen de manifiesto ningún indicio de que posean las herramientas y la capacidad propias de los autores de ciberamenazas de amplio espectro bien preparados. Utilizan herramientas de dominio público y aprovechan únicamente vulnerabilidades basadas en la Web, restricciones que sugieren que tienen una capacidad relativamente limitada.
Entre los hechos indicativos de esta capacidad limitada se incluyen los siguientes:
»» Utilizan únicamente un grupo reducido de herramientas a la venta y unas cuantas herramientas personalizadas compiladas a partir de código incluido en otros exploits de acceso público. Un agresor más competente utilizaría herramientas personalizadas más efectivas, como un exploit desconocido o con código personalizado.
»» Utilizan sus direcciones IP y dominios maliciosos durante un año como mínimo, aunque el hecho de que se conozcan públicamente entorpece el éxito de sus metas. Este comportamiento indica que no cuentan con los incentivos o los recursos necesarios para cambiar la infraestructura.
»» No suelen esconder las pruebas de su actividad, utilizar técnicas que no generen pruebas forenses ni volver al entorno atacado después de que la víctima haya solucionado los fallos de los sistemas comprometidos. Por eso, las víctimas han podido detectar la intrusión.
»» Sacan provecho principalmente de las vulnerabilidades de sitios web externos, en general mediante una o dos herramientas de dominio público diseñadas para sacar partido de vulnerabilidades temporales.
Hasta la fecha, Mandiant ha observado que estos autores de amenazas solo atacan redes vulnerables a herramientas de acceso público. Ha comprobado que no insisten en un objetivo si no consiguen acceder a su red, lo que sugiere que no han sido capaces de adaptarse al entorno del objetivo. El robo de datos de estos ciberdelincuentes no respondía a una meta tangible ni a un propósito probado, lo que nos hace creer que la finalidad de la misión era probablemente el reconocimiento de las redes del objetivo en cuestión.
10 Mandiant M-Trends® Más allá de un fallo de seguridad
fIgura 3: obSERvACIoNES DE MANDIANT SobRE lA ACTIvIDAD DE AMENAzAS DE gRUPoS SUPUESTAMENTE ESTAblECIDoS EN IRáN FRENTE A gRUPoS ESTAblECIDoS EN ChINA
Aunque dudamos de que estos agresores establecidos supuestamente en Irán cuenten con una verdadera preparación en estos momentos, nada impide que pongan a prueba y mejoren su capacidad. El carácter cada vez más público de los debates entre Estados
Unidos y otros países, cada vez más públicas, en torno a su capacidad ciberofensiva podrían animar a otros ciberdelincuentes a desarrollar y poner a prueba sus propias habilidades.
concluSIón Aunque los autores de amenazas supuestamente establecidos en Irán que Mandiant ha observado parecen ser menos sofisticados que otros, suponen una amenaza creciente debido a la hostilidad histórica de Irán con respecto a los intereses gubernamentales y empresariales de Estados Unidos. Los resultados de las negociaciones diplomáticas entre Irán y los gobiernos occidentales sobre su programa nuclear podrían ser cruciales en el impacto final de los creadores de amenazas establecidos en Irán.
eStaBlecIdoS en Irán eStaBlecIdoS en cHIna
Sectores objetivo 2 Sector energético y organismos estatales
33 Mayoría de sectores industriales
Selección de víctimas Limitada y basada en las vulnerabilidades
Diversa y con independencia de las vulnerabilidades
Herramientas disponibles Herramientas de acceso público Herramientas de acceso público especialmente creadas y personalizadas
fecha de las observaciones iniciales de mandiant 2012 Al menos desde 2006
detección por parte de la víctima 75 % 33 %
tiempo medio invertido en la organización atacada 28 días 243 días
Segunda intrusión después del primer incidente de seguridad No se ha observado En el 40 % de los casos
11www.mandiant.com
crédIto convertIdo en efectIvo
En 2013 no solo nos enfrentamos a ciberoperaciones políticas. Mandiant respondió a un número creciente de incidentes de robo financiero, muchos de ellos dirigidos al sector del comercio minorista. En todos los incidentes que investigamos, fue un tercero —normalmente uno de los principales bancos o marcas de tarjetas de crédito— quien informó al comercio del ataque. Sin embargo, en algunos casos las fuerzas de seguridad se encargaron de comunicárselo a las víctimas. Los autores de la amenaza mantuvieron su acceso a los sistemas vulnerados durante un periodo de hasta seis meses.
Los responsables de la amenaza buscaban los datos almacenados en las pistas de la banda magnética de las tarjetas de crédito. Hay dos tipos de datos: los de la pista 1 y los de la pista 2. Los datos de la pista 1 incluyen información como el número de cuenta principal, la fecha de caducidad y el nombre del titular de la tarjeta. Los datos de la pista 2 incluyen el número de cuenta principal y la fecha de caducidad, entre otros. Los agresores atacaron servidores, controladores y terminales punto de venta basados en Windows para obtener esta información, que les permitiría falsificar tarjetas de crédito. A lo largo de los últimos diez años, Mandiant ha combatido diversas intrusiones en el sector minorista, muchas de ellas llevadas a cabo de forma similar. Sin embargo, hay dos diferencias significativas que caracterizaron los incidentes que combatimos en 2013: el vector de ataque inicial y el método que los delincuentes utilizaron para obtener los datos del titular de la tarjeta desde los sistemas punto de venta.
en 2013, en las intrusiones llevadas a cabo en el sector minorista se utilizó un nuevo vector de ataque inicial y los delincuentes emplearon nuevos métodos para obtener datos de los titulares de tarjetas de crédito desde sistemas punto de venta remotos.
12 Mandiant M-Trends® Más allá de un fallo de seguridad
fIgura 4: CoMPRA DE ACCESo MEDIANTE REDES DE boTS
vector de ataque inicial
Normalmente, los ciberdelincuentes atacaban y sacaban provecho de las aplicaciones web externas de las empresas agredidas. Después de comprometer las aplicaciones web, se desplazaban por el entorno lateralmente. En los incidentes a los que Mandiant respondió en 2013, los autores localizaron métodos de entrada mucho más sencillos: simplemente obtuvieron acceso directo a los sistemas previamente vulnerados e infectados por el dueño de una red de bots. Aunque Mandiant no tiene en su poder ninguna prueba concluyente de cómo se produjeron estas transacciones, parece probable que el agresor comprase el acceso o negociase para obtenerlo.
Identificamos una estación de trabajo de un usuario en el entorno corporativo del comercio minorista agredido que se había infectado con un troyano
bancario común, un elemento de malware de consumo que suele usarse para interceptar las credenciales bancarias de los usuarios. En un plazo de menos de 24 horas después de la infección inicial, el propietario de la red de bots actualizó la puerta trasera a una versión más sigilosa diseñada para evitar su detección por parte de productos antivirus.
Tres días después, una organización criminal especializada en el robo de datos de titulares de tarjetas de crédito accedió al troyano modificado para introducirse en el entorno de la víctima y cargar otras herramientas para poder desplazarse lateralmente. También cargaron puertas traseras que habían adquirido del propietario de la red de bots. Estas puertas traseras les permitieron mantener el acceso al entorno de la víctima.
Una estación de trabajo de un entorno corporativo de un comercio minorista es infectada por un conocido troyano bancario.
1El dueño de la red de bots identifica al comercio minorista como un objetivo de gran valor y actualiza la puerta trasera a una versión más sigilosa para evitar ser detectado por el antivirus.
2
Tres miembros de la organización criminal cargan otras utilidades para desplazarse lateralmente y establecer otras puertas traseras para mantener el acceso.
4
Tres días después, una organización criminal especializada en el robo de tarjetas de crédito consigue que el propietario de la red de bots le otorgue acceso a la puerta trasera.
3Company B
Sede central del comercio minorista
Company O
COMPROMISED
Operador de la red de bots
Ciberdelincuente
13www.mandiant.com
fIgura 5: CóMo obTUvIERoN loS AgRESoRES ACCESo A SISTEMAS PUNTo DE vENTA DE ESTAblECIMIENToS
Despliegue de herramientas de recopilación de datos en registros remotosTodas las víctimas a las que Mandiant prestó sus servicios en 2013 hacían uso de un entorno conforme con la norma de seguridad PCI. En este caso, los perpetradores aprovecharon pequeños errores de configuración en la infraestructura para identificar los equipos con acceso directo a los sistemas punto de venta. Un controlador de dominio, que proporcionaba autenticación para las oficinas y los establecimientos de la empresa, constituyó el punto vulnerable.
Los agresores utilizaron las credenciales del administrador de dominio interceptadas para ejecutar un script de procesamiento por lotes de Windows en el servidor del controlador de dominio y desplegar malware de recopilación de datos de
tarjetas. En uno de los casos, el malware infectó más de 1000 registros que ejecutaban software punto de venta en sistemas operativos Microsoft® Windows® XP en cientos de tiendas.
Acceso a los datos de titulares de tarjetasEl malware de recopilación de datos de tarjetas desplegado en cada registro realizó búsquedas en la memoria de proceso de la aplicación punto de venta para obtener los datos de las bandas magnéticas almacenados en las pistas 1 y 2, según el formato que estipula la norma ISO/IEC 7813. Los autores aprovecharon las tareas programadas de Windows para ejecutar el malware cada hora durante el horario comercial. El malware extrajo los datos, los codificó y los almacenó en una tabla de base de datos temporal en el registro.
Red corporativa
Los ciberdelincuentes aprovecharon pequeños errores de configuración en la infraestructura para identificar los sistemas con acceso directo a los termina-les punto de venta (POS).
1
Una controladora de dominio, que ofrecía autenticación para las oficinas de la empresa y las tiendas, proporcionó el punto vulnerable.
2
El malware de recopilación de tarjetas de crédito desplegado en cada registro buscó en la memoria de procesos de la aplicación punto de venta los datos de banda magnética almacenados en los formatos de pista 1 y pista 2 (ISO/IEC 7813).
3
Company B
Company O
COMPROMISED
Servidor del agresor
Servidorpivote
POSSistema 1
POSSistema 2
Tienda 1
POSSistema 1
POSSistema 2
Tienda 3
POSSistema 1
POSSistema 2
Tienda 2
EntornoPCI
14 Mandiant M-Trends® Más allá de un fallo de seguridad
RecoMendAciones PARA unA Acción inMediATA
Los casos de ciberdelincuencia contra minoristas estadounidenses están aumentando, en parte debido a que las tecnologías de chip y PIN dirigidas a reducir el fraude con las tarjetas de crédito aún no se han adoptado de forma generalizada en Estados Unidos. Este cambio de rumbo hacia una tecnología más segura para las tarjetas de crédito es inminente. Mientras tanto, los comerciantes ya pueden tomar medidas para mejorar su propia seguridad. Recomendamos lo siguiente:
»» Implementar una segmentación estricta de la red con respecto al entorno PCI: separe cualquier sistema que gestione datos de titulares de tarjetas del resto del entorno corporativo. Exija una autenticación de dos factores para acceder al entorno PCI.
»» Gestione las cuentas con privilegios: cada sistema del entorno PCI debe contar con su propia contraseña de administrador local única. Aplique el principio de "privilegios mínimos" a los permisos de todos los grupos y cuentas, incluidas las cuentas de servicio.
»» Cifre los datos de los titulares de las tarjetas de crédito: plantéese utilizar una solución punto de venta con cifrado asimétrico de extremo a extremo, empezando por el lector de introducción de PIN.
»» Endpoints seguros: asegúrese de que todos los sistemas fundamentales del entorno tengan implementada una lista blanca de aplicaciones. Aplique los parches pertinentes a todos los sistemas operativos y las aplicaciones de terceros. Instale una solución de detección y respuesta para amenazas dirigidas a endpoints. Plantéese implementar una solución de supervisión que realice un seguimiento de cuándo se han creado los archivos en un sistema.
»» Lleve a cabo una supervisión activa: supervise el entorno PCI con regularidad por si se produce una actividad anormal, como inicios de sesión sospechosos, la creación de archivos inesperados o un flujo de tráfico inusual.
concluSIón los sistemas que almacenan datos de titulares de tarjetas son objetivos lucrativos de gran calibre . los ciberdelincuentes implementarán innovaciones y realizarán inversiones significativas en nuevas herramientas y tácticas para robar un gran volumen de datos de tarjetas de crédito . Suponemos que reutilizarán estas tácticas con todas las empresas objetivo que puedan, a menudo en periodos de tráfico elevado, como la temporada de compras del periodo vacacional .
consejo: en la mayor parte de las investigaciones realizadas por mandiant, se ha observado que los ciberdelincuentes utilizaban tareas programadas de Windows durante los ataques. Puede identificar los primeros signos de la presencia de un agresor en su entorno recopilando tareas programadas de todos los sistemas para comprobar si presentan actividad sospechosa.
Desde el sistema vulnerado de la oficina corporativa, los agresores usaron la utilidad osql.exe de Microsoft para realizar consultas en las bases de datos SQL temporales creadas en los registros. Los resultados se guardaron en un archivo plano en el equipo comprometido y se comprimieron mediante la utilidad de compresión 7-Zip. El archivo comprimido se cargó entonces en un sitio web público de transferencia de archivos.
Este método de almacenar los datos robados en una base de datos temporal antes de extraerlos de los equipos remotos mediante una consulta SQL es bastante interesante. Conocemos otros casos en los que el malware de recopilación de datos guarda los resultados directamente en un archivo o transfiere los datos automáticamente a un sitio FTP externo.
15www.mandiant.com
roBo de datoS: Se llevan HaSta el gato
Cuando Mandiant responde a un incidente, la primera pregunta que suelen hacerle los clientes es "¿Por qué me han elegido como blanco?", seguida a menudo de la reflexión "No tengo nada que puedan robar". Nuestra respuesta, acuñada durante muchas investigaciones en los últimos años, es cada vez con más frecuencia "Sí, claro que lo tiene". El gobierno chino está ampliando el alcance de sus ciberoperaciones y a los creadores de amenazas avanzadas establecidos en China les interesa adquirir datos sobre cómo funcionan las empresas, no solo sobre cómo fabrican sus productos.
En anteriores informes M-Trends indicábamos que estos delincuentes ahora eligen sus objetivos claramente fuera de la industria de la defensa y cada vez son más las campañas intensivas de intrusión que realiza el gobierno chino para obtener información que ayude a sus empresas públicas. Se trata de robos de datos que trascienden la propiedad intelectual básica de una empresa e incluyen información sobre cómo funciona la compañía y cómo toman decisiones sus ejecutivos y principales responsables.
16 Mandiant M-Trends® Más allá de un fallo de seguridad
lo que aParece en loS tItulareS: Y lo que no:
Sistemas armamentísticos vulnerados del departamento de defensa de ee. uu.5:
» Misiles PAC-3 » Aviones de combate F-35 » Sistemas antimisiles balísticos THAAD » Sistemas de combate Ageis de la Marina » Cazas F/A-18 » Aeronaves polivalentes V-22 Osprey » Helicóptero Black Hawk » Navío de guerra costero
robo de datos con aPt de diversa naturaleza por parte de autores establecidos en china:
» Mensajes de correo electrónico de ejecutivos » Procesos empresariales » Planes de negociación » Información presupuestaria » Organigramas » Actas de reuniones » Expedientes de recursos humanos » Programas e iniciativas
fIgura 6: MáS qUE I+D y PlANoS
Un fabricante de sistemas de alimentación sufrió un ataque en su red que provocó la pérdida de datos relacionados con los procesos de optimización de fabricación. Los ciberdelincuentes robaron el contenido de las cuentas de correo electrónico de los jefes de proyecto de la división de tecnología y desarrollo de la empresa.
FabricanteUna empresa de comunicación sufrió el robo de registros financieros, planificaciones, archivos de investigación, mensajes de correo electrónico e información de la libreta de direcciones de altos ejecutivos y periodistas que informaban exclusivamente sobre China.
Medio de comunicación
Una compañía energética, cuyos ejecutivos y directivos tenían comprometidas sus cuentas de correo electrónico, sufrió un robo de datos entre los que se que incluía información sobre una joint venture con un gobierno regional chino para un proyecto de energía limpia.
Compañía energética
Como resultado de un ataque, una ONG sufrió el robo de cientos de archivos que incluían mensajes de correo electrónico, programas e iniciativas, planes y objetivos estratégicos, fichas de recursos humanos, información sobre subvenciones y actas de reuniones.
ONG
Un fsufrila péprocLos de lajefesy des
17www.mandiant.com
un año deSPuéS del Informe SoBre el gruPo aPt1: ¿qué Ha camBIado?
La publicación del informe sobre el grupo APT1 de Mandiant en febrero de 2013 supuso una oportunidad única de comprobar si las revelaciones sobre la ciberactividad auspiciada por el gobierno chino podían promover una solución diplomática al problema del ciberespionaje nacional en favor de las de entidades del sector privado. ¿Podría esto trasladar el debate a las esferas presidenciales y lograr un avance real? Durante un breve periodo de tiempo, obtuvimos un no por respuesta.
En enero de 2013 se produjo la primera divulgación a gran escala de un grupo de amenazas persistentes avanzadas (APT) supuestamente vinculado a la República Popular China (RPC) que había puesto en jaque a un grupo de comunicación clave de Estados Unidos: The New York Times. En un artículo de primera plana publicado el 30 de enero de 2013, el New York Times reveló que una banda de hackers establecida en China, conocido como APT12, había vulnerado sus redes en los últimos cuatro meses6. El artículo provocó una desafiante respuesta por parte de la RPC, que declaró que "la legislación china prohíbe cualquier acción que atente contra la seguridad en Internet, incluida la piratería informática" y que "acusar al ejército chino de perpetrar ciberataques sin una prueba sólida carece de profesionalidad y fundamento"7.
analizamos su actividad:Basamos nuestras observaciones de la actividad de los grupos APT1 y APT12 en sesiones de comando y control (C2) activas. Un creador de ciberamenazas establece una conexión con el malware en la red de la víctima para realizar operaciones en ella. Las sesiones C2 muestran si un operador está involucrado activamente en ataques a la red.
18 Mandiant M-Trends® Más allá de un fallo de seguridad
Al poco tiempo de que la RPC desestimara el caso de The New York Times, Mandiant publicó el informe sobre APT1, donde presentaba pruebas que vinculaban a la banda de hackers establecida en China con la RPC, en concreto a la unidad 61398 del Ejército Popular de Liberación8. La RPC negó una vez más su participación y no tardó en tildar el informe sobre el grupo APT1 de "poco profesional" y "lleno de lagunas"9.
A pesar de ello, las continuas observaciones llevadas a cabo por Mandiant de la actividad de los grupos APT1 y APT12, medidas en sesiones de comando y control (C2), revelaron una respuesta bien distinta entre bambalinas que sugería la posible confirmación de que ambos grupos habían sido descubiertos.
Mandiant, basándose en comparativas entre la actividad de APT1 y APT12 durante 2013 y los tres años anteriores, cree que estos grupos de amenazas respondieron a su desenmascaramiento público de dos maneras. En primer lugar, ambos grupos retrasaron la vuelta a sus operaciones habituales tras los días festivos por el Año Nuevo chino en febrero. En segundo lugar, ambos grupos cambiaron rápidamente su infraestructura operativa para continuar con sus actividades.
A pesar de las recientes acusaciones y la consiguiente proyección internacional, las reacciones de los grupos APT1 y APT12 indican el interés por parte de la RPC tanto de que se oculte como de que se continúe con el robo de datos. Esto sugiere que la RPC cree que los beneficios de sus campañas de ciberespionaje pesan más que los costes de las posibles repercusiones internacionales.
APT1 y APT12 INTERRUMPEN SUS oPERACIoNESMandiant observó periodos de inactividad significativamente mayores tanto en el caso del grupo APT1 como del grupo APT12 después del artículo de The New York Times y el informe sobre APT1 si se compara con la actividad básica de ambos grupos durante los tres años anteriores. El grupo APT12 reanudó sus operaciones durante poco tiempo cinco días después de ser descubierto en el artículo de The New York Times, pero no retomó su actividad intrusiva sistemática hasta 81 días después. Incluso entonces, el grupo APT12 esperó a que pasasen unos 150 días después de la publicación del artículo para reanudar los niveles de actividad previos a la divulgación. En la Figura 8, se muestra la actividad observada desde enero hasta septiembre de 2013 (línea roja) frente a a actividad media observada entre 2011 y 2012 (línea azul).
El grupo APT1 presentó periodos igualmente prolongados de inactividad después de su desenmascaramiento en el informe de Mandiant. La publicación del informe coincidió con el final de la Semana Dorada, siete días festivos oficiales posteriores al Año Nuevo chino. El grupo APT1 estuvo inactivo durante 41 días más de lo habitual después de la Semana Dorada y tras la publicación del informe de Mandiant en comparación con los patrones de actividad del periodo 2010-2012.
Cuando el grupo APT1 reanudó su actividad, lo hizo a un nivel inferior al habitual antes de retomar su actividad intrusiva sistemática cerca de 160 días después de su incriminación. En la Figura 7 se muestra la actividad del grupo APT1 de enero a septiembre de 2013 (línea roja) en comparación con la actividad media observada entre 2010 y 2012 (línea azul).
19www.mandiant.com
fIgura 7: NúMERo DE SESIoNES C2 DE APT1 EN 2013 EN CoMPARACIóN CoN lA ACTIvIDAD báSICA DURANTE 2010-2012
fIgura 8: NúMERo DE SESIoNES C2 DE APT12 EN 2013 EN CoMPARACIóN CoN lA ACTIvIDAD báSICA DURANTE 2011 y 2012
0
5
10
15
20
25
0
20
40
60
80
100
120
0
5
10
15
20
25
0
20
40
60
80
100
120
1-Ene
Año Nuevo Chino
1-Mar
1-Abr
1-May
1-Jun
1-Jul
1-Agos
1-Sept
Informe APT1
Artícu
lo del NYT
Artículodel NYT
Informe APT1
AñoNuevo Chino
Media 2013
1-Ene
Año Nuevo Chino
1-Mar
1-Abr
1-May
1-Jun
1-Jul
1-Agos
1-Sept
Informe APT1
1-Feb
Informe APT1
AñoNuevo Chino
Media 2013
0
5
10
15
20
25
0
20
40
60
80
100
120
0
5
10
15
20
25
0
20
40
60
80
100
120
1-Ene
Año Nuevo Chino
1-Mar
1-Abr
1-May
1-Jun
1-Jul
1-Agos
1-Sept
Informe APT1
Artícu
lo del NYT
Artículodel NYT
Informe APT1
AñoNuevo Chino
Media 2013
1-Ene
Año Nuevo Chino
1-Mar
1-Abr
1-May
1-Jun
1-Jul
1-Agos
1-Sept
Informe APT1
1-Feb
Informe APT1
AñoNuevo Chino
Media 2013
20 Mandiant M-Trends® Más allá de un fallo de seguridad
Los periodos prolongados de inactividad tanto del grupo APT1 como del grupo APT12 en respuesta a su desenmascaramiento público pueden deberse a un intento de la RPC de evaluar las posibles consecuencias políticas tras las publicaciones y de reorganizar sus ciberoperaciones para ocultar mejor su actividad.
APT1 y APT12 MoDIFICARoN SU
INFRAESTRUCTURA oPERATIvA
Las observaciones que mantuvo Mandiant sobre los grupos APT1 y APT12 demostraron que ambos modificaron su infraestructura tras las revelaciones del artículo de The New York Times y el informe de Mandiant.
El informe sobre APT1 incluía más de 3000 indicadores, entre ellos nombres de dominio, direcciones IP, certificados de cifrado y hashes de malware basados en el algoritmo MD5. Después de publicar su informe, Mandiant observó que el grupo APT1 modificó gran parte de su arquitectura operativa y sustituyó lo que se había divulgado en el informe sobre su actividad.
Aunque el artículo de The New York Times no había revelado la infraestructura operativa del grupo APT12, Mandiant observó que el grupo también había implementado cambios en su arquitectura operativa y había sustituido toda la infraestructura que los investigadores habían podido sacar a la luz a raíz de la publicación del artículo10, 11. Mandiant cree que los cambios en las infraestructuras de los grupos APT1 y APT12 se debieron directamente a su divulgación pública, ya que ambos modificaron aquello que había quedado expuesto y mantuvieron otras infraestructuras. Creemos que los grupos APT1 y APT12 cambiaron la arquitectura operativa que se había divulgado en un intento de ocultar sus futuras operaciones de robo de datos.
ENE
FEB
MAR
ABR
MAY
JUN
JUL
30 de eneroThe New York Times publica el artículo que revela la intrusión del grupo APT12 .
4 de feBrerola actividad del grupo APT12 se reanuda durante un breve periodo de tiempo .
10 de feBreroComienza el periodo de días festivos por el Año Nuevo chino y la Semana Dorada .
18 de feBreroMandiant publica un informe en el que vincula al grupo APT1 con la unidad 61398 del ejército chino .
25 de marzola actividad del grupo APT1 se reanuda a un nivel más bajo de lo habitual .
24 de aBrIlEl grupo APT12 retoma su actividad a un nivel más bajo de lo habitual .
78 de junIoSe celebra la cumbre presidencial entre Estados Unidos y China .
1 de julIoEl grupo APT12 retoma su nivel de actividad previo a las acusaciones .
22 de julIoEl grupo APT1 retoma su nivel de actividad previo a las acusaciones .
fIgura 9: CRoNologíA DE loS EvENToS DE 2013: APT1 y APT12
21www.mandiant.com
No PUEDE NI (PRobAblEMENTE) qUIERE PARARLas reacciones de los grupos APT1 y APT12 a su difusión pública sugieren que la RPC, a pesar de negar públicamente su implicación en robos de datos auspiciados por el Estado, no está dispuesta al cese permanente de sus ciberoperaciones de intrusión. El uso continuo de las ciberoperaciones por parte de la RPC puede poner en peligro las futuras relaciones de China con Estados Unidos. El presidente Obama hizo del ciberespionaje de China el tema principal de la cumbre presidencial de junio de 2013 entre ambos países, prestando máxima atención a un problema que el asesor de seguridad nacional Tom Donilon calificó como "clave de cara al futuro" de las relaciones entre Estados Unidos y China12. No obstante, según recientes observaciones de Mandiant de la actividad de APT establecida en China, parece que la RPC no tiene intención de abandonar sus campañas de ciberespionaje, a pesar de las advertencias expresas del gobierno de Obama de que su persistencia "iba a suponer un problema muy difícil en las relaciones económicas" entre los dos países13.
fIgura 10: CAMbIoS EN lA INFRAESTRUCTURA DE APT1 TRAS lA PUblICACIóN DEl INFoRME DE MANDIANT
1 de julio
de 2012
20 de agosto
de 2012
9 de septie
mbre
de 2012
28 de noviembre
de 2012
17 de enero
de 2013
08 de marzo
de 2013
27 de abril
de 2013
16 de junio
de 2013
18 de febrero de 2013Se publica el informe
APT1 de Mandiant
Nuevas direcciones
IP asociadas a la misma familia de
malware
Direcciones IP asociadas a la familia de malware
utilizadapor APT1 y descubierta
porMandiant
APT1 cambia a direcciones IP utilizadas por una familia de malware
22 Mandiant M-Trends® Más allá de un fallo de seguridad
concluSIón
A lo largo del año pasado, observamos un cambio drástico en la frecuencia del debate público en torno a los fallos de seguridad. Las organizaciones atacadas están ahora más dispuestas a hablar abiertamente sobre las intrusiones que han sufrido y los responsables políticos expresan sus inquietudes tanto a nivel nacional como internacional. Sin embargo, el mayor debate y conocimiento de los fallos de seguridad no ha sido suficiente para cambiar la realidad actual: los fallos de seguridad son inevitables.
Hay una tendencia clara: las organizaciones son más conscientes de las ciberamenazas que nunca, pero los autores de las amenazas también han evolucionado para abarcar un ámbito más amplio de objetivos y utilizan un conjunto de aptitudes más extenso para lograr sus objetivos. En este informe, hemos analizado casos recientes en los que están involucrados hacktivistas, nuevos creadores de amenazas, ciberdelincuentes y grupos auspiciados por países que atacan a agencias informativas, organismos gubernamentales, empresas y organizaciones sin ánimo de lucro. Aunque las organizaciones objetivo han mejorado los sistemas de defensa de sus redes, el agresor típico sigue siendo capaz de acceder y navegar por las redes sin ser detectado durante más de ocho meses. Por otro lado, otros autores de amenazas, como los hacktivistas, pueden trasmitir su mensaje y dañar a una organización mediante tácticas sencillas y un poco de empeño.
No obstante, este panorama de amenazas en evolución, aunque complicado, no tiene por qué resultar desalentador. Para combatir las brechas de seguridad, las organizaciones necesitan personas debidamente cualificadas y visibilidad de sus redes, endpoints y registros. Asimismo, necesitan información oportuna sobre amenazas que les permita identificar actividades maliciosas con mayor celeridad. Cuando ocurre lo inevitable, la rapidez y el modo de actuar son cruciales. Los fallos de seguridad son inevitables. ¿Cómo piensa actuar ante ellos?
23www.mandiant.com
notaS fInaleS
1 Congreso de los Estados Unidos: “Subcommittee Hearing: Cyber Threats from China, Russia and Iran: Protecting American Critical Infrastructure”. 20 de marzo de 2013. http://homeland.house.gov/hearing/subcommittee-hearing-cyber-threats-china-russia-and-iran-protecting-american-critical
2 Perlroth, Nicole. Hardy, Quentin. "Bank Hacking was the Work of Iranians, Officials Say". The New York Times, The New York Times Company. 8 de enero de 2013. Web. 19 de diciembre de 2013. http://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-us-officials-say.html?_r=0
3 Perlroth, Nicole. Hardy, Quentin. "Bank Hacking was the Work of Iranians, Officials Say". The New York Times, The New York Times Company. 8 de enero de 2013. Web. 19 de diciembre de 2013. http://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-us-officials-say.html?_r=0
4 Gorman, Siobhan. "Iran Renews Internet Attacks on U.S. Banks". The Wall Street Journal, Dow Jones & Company. 17 de octubre de 2012. Web. 19 de diciembre de 2013.
5 "Plans for More Than Two Dozen U.S. Weapons Systems — Including an F-35 Fighter — Have Been Stolen by Chinese Hackers, Claims Pentagon". The Daily Mail, Associated Newspapers, Ltd. 28 de mayo de 2013. Web. 12 de noviembre de 2013.
6 Perlroth, Nicole. "Hackers in China Attacked the Times for Last 4 Months". The New York Times, The New York Times Company. 30 de enero de 2013. Web. 16 de diciembre de 2013.
7 Perlroth, Nicole. "Hackers in China Attacked the Times for Last 4 Months". The New York Times, The New York Times Company. 30 de enero de 2013. Web. 16 de diciembre de 2013.
8 "APT1: Exposing One of China’s Cyber Espionage Units". Mandiant. 18 de febrero de 2013. Web. 16 de diciembre de 2013.
9 "Chinese Media Slam Cyber-Hacking Report". Voice of America News, Voice of America. 21 de febrero de 2013. Web. 16 de diciembre de 2013.
10 Blog de FireEye: http://www.fireeye.com/blog/technical/malware-research/2013/02/an-encounter-with-trojan-nap.html
11 Trend Micro: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_ixeshe.pdf
12 Neuman, Scott. "Chinese Cyber-Hacking Discussed at Obama-Xi Summit". The Two-Way, National Public Radio. 9 de junio de 2013. Web. 17 de diciembre de 2013.
13 Neuman, Scott. "Chinese Cyber-Hacking Discussed at Obama-Xi Summit". The Two-Way, National Public Radio. 9 de junio de 2013. Web. 17 de diciembre de 2013.
24 Mandiant M-Trends® Más allá de un fallo de seguridad
acerca de mandIant® Mandiant ha expulsado a autores de amenazas de las redes informáticas y los endpoints de cientos de clientes en todos los sectores destacados. Somos la opción definitiva para las empresas incluidas en la lista Fortune 500 y los organismos gubernamentales que desean protegerse y actuar ante incidentes de seguridad importantes de cualquier clase.
La mayoría de las operaciones selectivas avanzadas se desarrollan sin ser detectadas y proliferan sin defensa alguna. Cuando se producen intrusiones, la combinación única de Mandiant de recursos humanos cualificados y liderazgo tecnológico, junto con la información sobre amenazas de FireEye, ayuda a las organizaciones a detectarlas, combatirlas y neutralizarlas antes de que sus autores consigan alcanzar su objetivo. Nuestros ingenieros y consultores de seguridad cuentan con las autorizaciones de seguridad gubernamentales de máximo nivel, tienen 11 libros en su haber y siempre están en boca de las principales agencias de prensa. Mandiant tiene su sede principal en Alexandria, Virginia (Estados Unidos) y cuenta con oficinas en Nueva York, Los Ángeles, San Francisco, Reino Unido e Irlanda.
Para obtener más información sobre Mandiant, visite www.mandiant.com, lea nuestro blog, M-Unition, o síganos en Twitter en @Mandiant o en Facebook en www.facebook.com/mandiantcorp.
acerca de fIreeYe™
FireEye ayuda a las empresas a defenderse de la última generación de ciberataques. Combinando nuestras plataformas de prevención de amenazas, nuestra gente y nuestros datos, ayudamos a eliminar las consecuencias de las intrusiones mediante la detección de los ataques, la notificación del riesgo y el suministro de lo necesario para resolver rápidamente los incidentes de seguridad.
www .mandiant .com