A produtora de software de segurança McAfee identificou novos ataques a infraestruturas críticas globais. As informações foram divulgadas ...
A produtora de software de segurança McAfee identificou novos ataques a infraestruturas críticas globais. As informações foram divulgadas na semana passada, mas nesta segunda-feira a empresa forneceu detalhes sobre ciberataques coordenados e orientados contra empresas do setor energético (petróleo, energia e petroquímica), na ação chamada de "Dragão Noturno" (Night Dragon).
A empresa estima que até o momento cerca de uma dezena de empresas foram atacadas, das quais cinco confirmaram ter sofrido tal ataque. De acordo com relatório enviado à imprensa, em novembro de 2009, ciberataques coordenados secretos e dirigidos começaram a ser conduzidos contra empresas globais dos setores de petróleo, energia e petroquímica. Esses ataques consistiam em engenharia social; ataques de spear-phishing (milhões de e-mails com link malicioso com alvo a pessoas ou empresas); exploração de vulnerabilidades do sistema operacional Microsoft Windows; comprometimentos do Microsoft Active Directory; e no uso de ferramentas de administração remota (RATs - Remote Administration Tools) para atacar e coletar operações reservadas confidenciais de concorrentes e informações sobre financiamento de projetos de licitações e operações nas áreas de petróleo e gás.
Segundo a empresa, a China foi identificada como principal origem das ferramentas, técnicas e atividades de rede utilizadas nesses ataques contínuos. Os ataques do Dragão Noturno funcionam através de invasões metódicas e progressivas da infraestrutura alvo da ação. A McAfee listou algumas atividades básicas realizadas pela operação Dragão Noturno:
-Os servidores de Web das extranets das empresas foram comprometidos através de técnicas de injeção de SQL, permitindo a execução remota de comandos;
-As ferramentas de hackers, normalmente disponíveis, são enviadas a servidores de Web comprometidos, permitindo que os atacantes invadam a intranet da empresa, dando-lhes acesso interno a desktops e servidores confidenciais;
-Utilizando ferramentas de quebra de senha e de pass-the-hash, os atacantes ganham mais nomes de usuário e senhas, o que permite obter mais acesso autenticado a desktops e servidores internos confidenciais;
-Utilizando inicialmente os servidores de Web comprometidos da empresa como servidores de comando e controle (C&C), os atacantes descobriram que só precisavam desativar as configurações de proxy do Microsoft Internet Explorer (IE) para permitir que os computadores infectados se comunicassem diretamente com a Internet.
-Utilizando malware de RAT (Remote Administration Tools), eles passaram a se conectar com outras máquinas (buscando por executivos) e extraindo arquivos de e-mail e outros documentos confidenciais;
A McAfee disponibiliza em seu site uma ferramenta gratuita para detecção e remoção dos arquivos infectados pelo ataque "Dragão Noturno" através do link http://bit.ly/hQobqq.
Fonte : Terra