You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
4.2. Operación Shady-RAT<br />
A principios de Agosto de 2011 64 se hizo público un informe de la empresa McAfee<br />
cuyo título fue: ‘Revealed: Operation Shady-RAT’ 65 . En él se difunde una<br />
investigación dirigida por McAfee donde se descubrieron más de 70 organizaciones<br />
afectadas por una intrusión durante los últimos 5 años (desde el año 2006). Estas<br />
organizaciones se situaban en diferentes países, (Canadá, USA, Corea del sur,<br />
etc.), continentes (Europa, Asia, América latina, etc.) y pertenecían a diferentes<br />
sectores (Gobiernos, Organizaciones sin ánimo de lucro, proveedores de defensa,<br />
etc.). La operación fue llevada a cabo por un único grupo de ciberdelincuentes<br />
con el objetivo de recopilar gran cantidad de información. Según se describe en<br />
dicho informe, este grupo estaba sediento de información que afectara a secretos<br />
de ciertas organizaciones y organismos y a su propiedad intelectual.<br />
En la operación, como su propio nombre indica, se utilizó software RAT 66 (Remote<br />
Access Tool), para llevar a cabo la intrusión por parte de los cibercriminales. Los<br />
datos publicados en el informe se basaron en los registros recogidos de uno de los<br />
servidores de Command and Control, que fue intervenido por McAfee.<br />
El informe describe el ‘modus operandi’ de los atacantes a un alto nivel, sin entrar<br />
en detalles técnicos. En esta descripción se indica que la intrusión se inició con un<br />
correo dirigido (Spear-Phising Attack) que incluía un exploit, que era enviado a un<br />
usuario con responsabilidades de administración en la organización. Cuando era<br />
abierto en un sistema no actualizado, infectaba el equipo y descargaba el siguiente<br />
malware de la fase de intrusión. Este malware instalaba una puerta trasera que<br />
permitía la comunicación con el de Command and Control a través de tráfico<br />
HTTP. Ésto era aprovechado rápidamente por los atacantes para introducirse por la<br />
red interna, realizar escalada de privilegios y afianzar la intrusión dentro de la<br />
64 Shady RAT<br />
http://www.zdnet.com/blog/btl/operation-shady-rat-five-things-to-know/53928<br />
65 Shady RAT MacAfee<br />
http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf<br />
66 Remote Access Tool<br />
http://en.wikipedia.org/wiki/Remote_administration_software<br />
31