Kaspersky - Fucobha (Icefog): o noua campanie de spionaj cibernetic

[Usr6]

Icefog indica aparitia grupurilor de mercenari cibernetici care sunt angajati pentru a derula operatiuni de tip hit&run („ataca si fugi”)

Echipa de cercetare a Kaspersky Lab a publicat in cursul noptii trecute un raport de cercetare cu privire la descoperirea actiunii „Icefog”, o grupare APT ce ataca tinte din Coreea de Sud si Japonia, concentrandu-se pe lanturile de aprovizionare pentru companiile occidentale. Operatiunea a inceput in 2011 si a evoluat de-a lungul anilor trecuti.

„In ultimii ani, grupurile de tip ‚APT’ au avut ca tinta aproape toate tipurile de victime si sectoare”, a spus Costin Raiu, directorul echipei globale de cercetare si analiza (GReAT) a Kaspersky Lab. „In majoritatea cazurilor, atacatorii raman conectati ani intregi la retelele corporatiilor si guvernelor, extragand informatii confidentiale. Acest tip nou de atacuri – ‚hit&run’ – ce caracterizeaza Icefog, demonstreaza ca exista o noua tendinta – grupari mai mici, care dau lovituri cu o precizie chirurgicala. Atacul dureaza, in general, cateva zile sau saptamani, iar dupa ce obtin ceea ce cautau, atacatorii fac curatenie in urma lor si dispar. Pe viitor, previzionam ca numarul de grupari de tip APT care pot fi angajate pe „contract” va creste, acestea specializandu-se in operatiuni de tip „hit&run”, fiind un fel de echipe de „mercenari cibernetici” ai lumii moderne”, a incheiat Costin Raiu.

Principalele descoperiri:

• Tinand cont de tipul tintelor identificate, atacatorii par a fi interesati de urmatoarele domenii de activitate: militar, constructii de nave maritime si operatiuni maritime de transport, dezvoltarea de software, companii de cercetare, operatorii telecom, operatorii de comunicatii prin satelit, mass media si televiziune.
  
• Printre tintele de care au fost interesati atacatorii, conform cercetarii, se numara contractorii din industria militara cum sunt Lig Nex1 si Selectron Industrial Company, companii de constructii de nave maritime ca DSME Tech, Hanjin Heavy Industries, operatori telecom – Korea Telecom, companii media ca Fuji TV si Japan-China Economic Association.
  
• Atacatorii fura documente confidentiale si planuri ale companiilor, informatii legate de conturile de e-mail si parole de acces la diverse resurse din interiorul sau din afara retelei victimei.
  
• In timpul operatiunii, atacatorii utilizeaza setul backdoor „Icefog” (cunoscut si ca „Fucobha”). Kaspersky Lab a identificat versiuni ale Icefog atat pentru Microsoft Windows, cat si pentru Mac OS X.
  
• Desi in majoritatea altor campanii APT victimele raman infectate timp de luni sau ani de zile, in vreme ce atacatorii fura in mod constant informatii, operatorii Icefog proceseaza victimele una cate una – localizand si copiind numai informatii specifice.
  
• In majoritatea cazurilor, operatorii Icefog par sa stie foarte bine ce cauta atunci cand ataca o anumita entitate. Ei cauta nume specifice de fisiere, care sunt identificate rapid si apoi sunt transferate in centrul de comanda si control.
  

Atacul si functionalitatea

Cercetatorii Kaspersky Lab au reusit sa preia controlul asupra 13 dintre cele peste 70 de domenii utilizate de catre atacatori. Astfel, echipa de cercetare a reusit sa obtina statistici in ceea ce priveste numarul de victime la nivel mondial. In plus, serverele de comanda si control ale Icefog pastreaza arhive criptate cu informatii despre victime, alaturi de tehnicile utilizate asupra lor. Aceste arhive pot fi de folos in identificarea tintelor atacurilor si, in anumite cazuri, a victimelor. Pe langa Japonia si Coreea de Sud, au mai fost identificate conexiuni din mai multe alte tari, inclusiv Taiwan, Hong King, China, SUA, Australia, Canada, Marea Britanie, Italia, Germania, Austria, Singapore, Belarus si Malaysia. In total, Kaspersky Lab a descoperit peste 4.000 de IP-uri unice infectate si cateva sute de victime (cateva zeci de victime care rulau Windows si peste 400 de victime Mac OS X).

Pe baza listei de IP-uri utilizate pentru a monitoriza si a controla infrastructura, expertii Kaspersky Lab presupun ca jucatorii din spatele acestei operatiuni actioneaza din cel putin trei tari – China, Coreea de Sud si Japonia.

Produsele Kaspersky Lab detecteaza si elimina toate variantele malware-lui Icefog.

Raportul complet, in care se regaseste descrierea detaliata a backdoor-urilor, a altor instrumente malware si statistici, alaturi de indicatori ai compromiterii, accesati Securelist. De asemenea, este disponibil si un document FAQ despre Icefog.

Sursa: Kaspersky Lab a descoperit Icefog: o noua campanie de spionaj cibernetic

securelist: The Icefog APT: A Tale of Cloak and Three Daggers - Securelist

The Icefog APT: Frequently Asked Questions: The Icefog APT: Frequently Asked Questions - Securelist