Red Shadow
La Red Shadow o Shadow Network como se conoce en ingles es una operación de espionaje informático con sede en China que robó documentos clasificados y correos electrónicos desde el gobierno de la India, la oficina del Dalai Lama, y otras redes gubernamentales de alto nivel. Esta es la segunda operación de ciberespionaje de este tipo descubierta por investigadores del Information Warfare Monitor, tras el descubrimiento de GhostNet en marzo de 2009. El informe de la Shadow Network "Shadows in the Cloud: Investigating Cyber Espionage 2.0" fue lanzado el 6 de abril de 2010, aproximadamente un año después de la publicación de "Tracking GhostNet".
La red de espionaje cibernético hizo uso de servicios de Internet, tales como redes sociales y plataformas de computación en la nube. Los servicios incluyeron Twitter, Google Groups, Baidu, Yahoo Mail, Blogspot y blog.com, que se utilizaron para alojar malware e infectar computadoras con software malicioso.
Contenido
Descubrimiento
El informe Shadow Network fue publicado después de una investigación de 8 meses colaborando entre investigadores de Information Warfare Monitor, con sede en Canadá, y la Fundación Shadowserver de los Estados Unidos . La Shadow Network fue descubierta durante la investigación de GhostNet, y los investigadores dijeron que era más sofisticada y difícil de detectar.
Después de la publicación del informe de GhostNet, varios de los servidores de comando y control descubiertos se desconectaron, sin embargo, los ciberataques en la comunidad tibetana no cesaron.
Los investigadores llevaron a cabo una investigación de campo en Dharamshala, India, y con el consentimiento de las organizaciones tibetanas, pudieron monitorear las redes para recolectar copias de los datos de los ordenadores comprometidos e identificar los servidores de comando y control utilizados por los atacantes. La investigación de campo realizada por Information Warfare Monitor y la Fundación Shadowserver encontró que los sistemas informáticos en la Oficina de Su Santidad el Dalai Lama (OHHDL) se habían visto comprometidos por múltiples redes de malware, una de las cuales era Shadow Network.
La investigación adicional de Shadow Network reveló que, si bien las oficinas de la India y el Dalai Lama eran el foco principal de los ataques, la operación comprometía los ordenadores en todos los continentes excepto en Australia y la Antártida.
El equipo de investigación recuperó más de 1.500 correos electrónicos de la Oficina del Dalai Lama junto con una serie de documentos pertenecientes al gobierno indio. Esto incluyó evaluaciones de seguridad clasificadas en varios estados de la India, informes sobre sistemas de misiles de la India, y documentos relacionados con las relaciones de la India en Oriente Medio, África y Rusia. También se robaron documentos relacionados con los movimientos de las fuerzas de la OTAN en Afganistán, y de la Comisión Económica y Social de las Naciones Unidas para Asia y el Pacífico (CESPAP). Los piratas informáticos tomaron datos indiscriminadamente, estos incluían información sensible, así como información financiera y personal.
Origen
Los atacantes fueron rastreados a través de direcciones de correo electrónico a la ciudad de Chengdu en la provincia china de Sichuan. Hubo sospechas pero no hubo confirmación de que uno de los hackers tuviera conexión con la Universidad de Ciencia y Tecnología Electrónica en Chengdu. La cuenta de otro hacker estaba vinculada a un residente de Chengdu que afirmaba saber poco sobre la piratería.
