Symantec publicó los resultados de un estudio en el que desvelan una campaña de ciberespionaje contra la industria química a nivel mundial. El origen de la campaña es chino y el propósito es recolectar material industrial sensible, como fórmulas, documentos de diseño y procesos de fabricación.

Nitro (archivo PDF) el es nombre clave dado por Symantec a esa serie de ataques ocurridos entre julio y septiembre de este año. La empresa, mejor conocida por el desarrollo de software anti-virus, considera que la obtención de toda esa propiedad industrial servirá para restar ventaja competitiva a sus propietarios.

Datos a tomar en cuenta:

  • 29 empresas del sector químico confirmaron el ataque
  • 19 empresas, principalmente de la milicia, también se vieron afectadas
  • Probablemente otras compañías fueron atacadas
  • Entre las compañías, muchas pertenecen a la lista Fortune 100 de las más importantes del mundo
  • Entre las empresas atacadas hubo productoras de materiales químicos para vehículos militares

Aquí está un diagrama con los países más atacados, con EE. UU. en primer lugar. Me sorprende la aparición de Bangladesh y Argentina en segundo y cuarto lugar, respectivamente. Sin embargo, por la variada distribución de países atacados Symantec concluye que los blancos del ataque fueron estrategicamente elegidos.

¿Cómo se realizó el ataque? Como es usual en este tipo de casos, con engaños vía correo electrónico:

  • Los atacantes enviaron correos a un conjunto de blancos específicos
  • Enviaron entre 100 y 500 correos por organización
  • Hubo dos tipos de correos falsos: 1) invitaciones de socios y 2) actualizaciones de seguridad
  • Los correos tenía un archivo ajunto con apariencia de archivo de texto, pero que en realidad era un archivo ejecutable con un troyano nombrado PoisonIvy, completamente made in China
  • Una vez ejecutado el troyano, éste abría una "puerta" para el acceso y control remoto del equipo infectado, para lo cual usaron la herramienta Poison Ivy (nótese que el nombre del troyano no lleva espacio entre las palabras)
  • Desde el equipo controlado los atacantes aumentaron sus posibilidades de acceder a equipos de mayor jerarquía; una vez que llegaron a ellos extrajeron una copia de la información deseada

Además, Symantec pudo determinar que los atacantes directos fueron unos 20 hombres ubicados en Hebei, China. Se sabe que todos ellos recibieron un breve entrenamiento en seguridad de redes, y que otros grupos también atacaron a las compañías, aunque se desconoce si están relacionados de alguna manera.

Lo dicho, ciberguerras, ciberespionaje, ciberejércitos, malware fabricado por estados (como Stuxnet) u organizaciones criminales, entre otros, son asuntos sumamente relevantes y de los que recibiremos todavía más noticias.