Нефтяные, газовые и нефтехимические компании в данной атаке являются основными целями и технические атаки проводятся как на их публичные сайты, так и предпринимаются попытки проникновения в закрытые сети компаний. Грэг Дей, директор по стратегии безопасности McAfee, говорит, что хакеры из КНР пытаются использовать методы социальной инженерии, чтобы войти в доверительный контакт с руководителям нефтяных и газовых компаний из Казахстана, Тайваня, Греции и США для дальнейшего получения нужных сведений.

Сообщается, что атаки, организованные в рамках "Ночного дракона", почти полностью производятся с территории Китая, а сами атакующие применяют программное обеспечение, продвигаемое на китайских хакерских форумах. Более того, атаки начинаются с открытых IP-адресов многих местных компаний и проводятся по рабочим часам, что наводит на мысль об использовании компьютеров обычных компаний для атак.

Несмотря на то, что McAfee утверждает, что организаторы этих атак разбросаны по всей стране, в результате исследования атак был установлен как минимум один командный центр хакеров, расположенный в провинции Шаньдун. Здесь, согласно версии McAfee, расположена основная инфраструктура хакеров.

Напомним, что ранее McAfee неоднократно сообщала о продолжающихся атаках на сети западных компаний со стороны китайских хакеров. В частности в конце 2009 года было сообщено о проведении "Операции Аврора", в рамках которой хакеры из Китая пытались получить доступ к закрытым ресурсам сетей Google. Позже выяснилось, что здесь же атакуются и полтора десятка других ИТ-компаний.

McAfee не сообщает названия атакованных компаний, но сообщает, что многие из них обращались к ним за консультационными услугами.

Технический директор McAfee Джордж Курц, говорит, что атакующие в подавляющем большинстве случаев используют "микс из популярных хакерских техник", в надежде, что хотя бы одна из них сработает. "Недавно мы подняли архивы самих компаний и проанализировали полученные данные. Выяснилось, что такие бесхитростные методы применяются по некоторым компаниям около двух лет, по другим - почти четыре года", - говорит он.

Дэй говорит, что несмотря на тестирование систем на проникновение, исследование общего уровня безопасности и проведение других операций, широта и сложность корпоративных систем делают проведение анализа все более сложной операцией. Он отмечает, что нападения часто нацелены на общедоступные сайты, когда хакеры используют SQL-инъекции, переборы паролей и другие операции для получения доступа к бэк-энду сайтов. Сразу же после взлома хакеры загружают на серверы средства удаленного администрирования и пытаются вести дальнейшие атаки, которые могут быть направлены на взлом систем Active Directory и других технологий, направленных на работу в корпоративных сетях.