Historia del reciente hackeo a The New York Times procedente de China
Durante los últimos cuatro meses, un grupo de hackers de China han atacado de manera constante The New York Times, infiltrándose en sus sistemas informáticos, robando contraseñas de periodistas y otros empleados, y accediendo al correo electrónico de personas clave.
El momento del ataque coincide con la investigación que Times llevó a cabo sobre los familiares del Primer Ministro chino, Wen Jiabao, que habían acumulado una fortuna de miles de millones de euros a través de tratos de negocios.
Los atacantes consiguieron acceder a las direcciones de correo electrónico del director de la oficina de Shanghai, David Barboza, quien escribió los artículos sobre los familiares de Wen Jiabao, y Jim Yardley, el director de la oficina de India, quien previamente había trabajado en Beijing.
Inicialmente los atacantes trataron de ocultar la fuente de los ataques penetrando en primer lugar en ordenadores de universidades de Estados Unidos y encaminando los ataques a través de ellos. Comenzamos instalando malware que les permitió la entrada a cualquier ordenador de la red de The Times.«Los atacantes ya no tratan de derribar un firewall. Va a por los empleados. Envían un código malicioso a tu cuenta de e-mail y tú lo abres y les dejas entrar,» comentó Michael Higgins, jefe de seguridad de The Times. De esta forma consiguieron tener acceso al ordenador de 53 empleados del periódico.
Todo apunta a que los atacantes irrumpieron en la red de The Times el 13 de septiembre, cuando los artículos sobre la familia de Wen estaban a punto de finalizarse. Montaron al menos tres puertas traseras en las máquinas de los usuarios que utilizador como base digital del campamento. Desde allí husmearon en los sistemas de The Times al menos durante dos semanas antes de identificar el controlador de dominio que contiene los nombres de usuario y contraseñas cifradas (en realidad, el hash de la contraseña) de cada empleado de Times.
Los investigadores han encontrado evidencias de que los atacantes consiguieron descifrar las contraseñas y utilizaron esto para ganar acceso a un buen número de ordenadores. Crearon herramientas que les permitían buscar y capturar e-mails de Barboza y Yardley de un servidor de correo de Times.
Los atacantes estuvieron especialmente activos en el periodo posterior a la publicación el 25 de octubre del artículo sobre los familiares de Web, especialmente en la noche de la elección presidencias del 6 de noviembre. Eso despertó la preocupación de los directivos de Times que habían sido informados de los ataques ya que se temieron que los atacantes pudieran querer interrumpir el servicio web o el sistema de impresión del periódico. Sin embargo todo apunta a que los movimientos de los atacantes seguían centrados en la correspondencia de Barboza. Parecía que estuvieran buscando los nombres de las personas que habían pasado la información a Barboza.
Para librarse de los atacantes, The Times bloqueó los ordenadores exteriores que habían sido comprometidos, eliminó todas las puertas traseras a su red, cambió las contraseñas de todos los empleados e incrementó la seguridad de sus sistemas. Por ahora parece haber funcionado pero los investigadores y ejecutivos de Times afirman que esperan más ataques.
