Seguridad

Destapan una operación de ciberespionaje que duró cinco años

McAfee seguridad Shady RAT ciberespionajeDmitri Alperovitch, investigador de la empresa de seguridad informática McAfee, ha publicado un informe sobre la operación ‘Shady RAT’, una de las operaciones de espionaje más importantes de la historia. Shady RAT (el nombre proviene de las siglas en inglés de Herramienta de Acceso Remoto) se desarrolló a lo largo de unos cinco años.

Durante todo este tiempo, hasta 72 empresas, gobiernos y organizaciones de todo el mundo sufrieron ataques cibernéticos con los que se consiguieron datos confidenciales.

Estos ataques, de todos modos, son diferentes a los realizados por grupos como Anonymous o LulzSec o los ataques cibernéticos más comunes, ya que son una amenaza de seguridad mucho mayor, según explica Alperocitch. Esto se debe a que buscan secretos y propiedad intelectual en lugar de una “gratificación financiera inmediata”.

Según el investigador de McAffe, entre la información recopilada en la operación Shady RAT hay secretos nacionales (incluyendo información clasificada de redes gubernamentales), código fuente, bases de datos de ‘bugs’, archivos de correo electrónico, planes de negociación y contratos legales, entre otros. No obstante, por el momento no se sabe para qué se utiliza (o se ha utilizado) esta información.

Alperovitch también explica que la publicación de este informe no se debe a un nuevo ataque y que la gran mayoría de las víctimas ya ha remediado el problema (aunque es probable que algunos de los afectados simplemente se hayan limitado a ‘limpiar’ los equipos infectados, sin darle mayor importancia al ataque).

La información obtenida por McAfee se ha conseguido gracias a que pudieron acceder a uno de los servidores utilizados por los ‘hackers’. Gracias a estos datos descubrieron registros de afectados que comenzaban a mediados de 2006, aunque es probable que la operación se desarrollase desde antes.

La forma de acceder era la misma que suele emplearse en los ataques contra empresas: correos electrónicos con archivos maliciosos que daban lugar a la descarga del malware. Una vez que éste comenzaba a funcionar, los intrusos podían acceder al equipo infectado y crear más puertas de entrada para llegar a la información.

Las víctimas de los ataques procedían de 14 países diferentes y en ocasiones eran organizaciones sin ánimo de lucro. De hecho, la información recogida hace que McAfee sospeche que un “actor estatal” pueda estar detrás de los ataques, ya que en muchos casos no tenía valor comercial.

McAfee seguridad Shady RAT ciberespionajeProcedencia de las víctimas. Haz clic en la imagen para ampliar.

En cuanto a las intrusiones, en 2006 afectaron a ocho compañías y el número aumentó en 2007 (29) y 2008 (36). Sin embargo, a partir de ese año comenzaron a disminuir (en 2010 hubo 17 afectados y en lo que va de 2011 ha habido 9). Esto se debe probablemente “a la disponibilidad global de medidas contra los indicadores específicos de esta intrusión”.

Tan solo nueve organizaciones (entre las que se encuentran, por ejemplo, el Comité Olímpico Internacional, un contratista de defensa de Estados Unidos y el Gobierno de un país) se vieron afectadas durante menos de un mes. Esto puede deberse a una respuesta rápida, pero también a una falta de interés por la información (o a que se consiguió la deseada rápidamente).

Por otro lado, la organización que tardó más tiempo en solucionar el problema fue “el Comité Olímpico de una nación de Asia”, que estuvo comprometido durante 28 meses.

Imagen: McAfee.

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.