Descripción
Un nuevo ataque informatico llamado «Night Dragon» ha sido detectado. El foco fue intrusiones se situa en los sistemas de compañias petroleras y de producción de gas, así como documentos financieros relacionados con la exploración de nuevos campos y ofertas para arrendamientos de gasolina. Esto no significa que no pueda ser utilizado para obtener cualquier tipo de datos confidenciales de cualquier compañia.
» Estos objetivos han ido más allá de la base industrial de defensa, el gobierno y los equipos militares que incluyen metas globales corporativas y comerciales»
McAffe Inc.
El ataque es realizado coordinando una serie de ataques cubiertos mediante ingeniería social, aprovecha vulnerabilidades de Windows, cuentas de Active Directory y herramientas de administración remota. Ataca primero a los servicios web de cara al Internet, a continuación, los servidores vulnerables se utilizan para atacar a los servidores de la red interna, una vez que están en la red interna que usan»spearphishing» (fraude por correo electrónico con el intento de acceso no autorizado a información confidencial) y los usuarios con acceso VPN remoto se utilizan para obtener información adicional.
Más tarde utilizan las herramientas de ingeniería social para robar contraseñas e instalar software malicioso del correo electrónico. En su etapa final, se centra en robar documentos importantes y correos electronicos de los ejecutivos.
Como protegernos de estos ataques?
Para que un ataque como éste, deben reforzarse inmediatamente los controles perimetrales, con firmas especializadas IPS (como ataques de inyección SQL o ataques DotDot). Si es posible también instalar Host IPS en servidores críticos.
Las reglas de firewall deben ser verificadas, a fin de asegurar que no existan reglas del tipo ‘Any@Any’ o si existen accesos que deban ser eliminados.
Debe existir un sistema para la actualización de los sistemas operativos (Parches o Service Packs) y monitorear el cumplimiento para responder a las vulnerabilidades no cubiertas.
Siempre (no sólo para este ataque) se debe tener especial atención en las laptops de los ejecutivos. Por lo general, los documentos manejados por estos tienden a tener gran importancia para la institución y ser sensibles para el negocio y es nuestro deber de proteger a esta documentación.
También en cada empresa deben crearse comités encargados de verificar que se mitiguen las amenazas emergentes y crear controles para evitar cualquier tipo de ataques adicionales.
Fuentes
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1527328,00.html
http://www.nytimes.com/2011/02/10/business/global/10hack.html?_r=1
http://online.wsj.com/article/SB10001424052748703716904576134661111518864.html
Seguridad de Información 