Nowa kampania cyberszpiegowska „Icefog”

26 września, 2013

Nowy trend: pojawienie się małych grup cyber-najemników, które można wynająć do przeprowadzenia błyskawicznych operacji o chirurgicznej precyzji.

Zespół badaczy z Kaspersky Lab informuje o wykryciu niewielkiej, ale aktywnej grupy ataków o nazwie „Icefog”, skoncentrowanej na celach zlokalizowanych w Korei Południowej i Japonii, atakującej łańcuch dostaw dla firm zachodnich. Operacja rozpoczęła się w 2011 r., zwiększając swoją skalę i zasięg w ciągu ostatnich kilkunastu miesięcy.

„Przez ostatnie kilka lat odnotowaliśmy wiele zaawansowanych, długotrwałych ataków ukierunkowanych (tzw. APT) na niemal wszystkie rodzaje ofiar i sektorów. W większości przypadków osoby atakujące od wielu lat posiadają punkt zaczepienia w sieciach korporacyjnych i rządowych, wyprowadzając stamtąd terabajty poufnych informacji” – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab. „Błyskawiczny charakter ataków grupy Icefog wskazuje na wyłaniający się nowy trend: niewielkie, działające w błyskawiczny sposób gangi, które z chirurgiczną precyzją przechwytują informacje. Atak zwykle trwa kilka dni lub tygodni, a gdy cyberprzestępcy zdobędą to, czego szukają, zacierają za sobą ślady i znikają. W przyszłości spodziewamy się wzrostu liczby niewielkich grup przeprowadzających ataki APT na zlecenie, specjalizujących się w błyskawicznych operacjach – swego rodzaju 'cyber-najemników’ współczesnego świata”.

Główne wyniki badania Kaspersky Lab:

  • Na podstawie profili znanych celów wydaje się, że osoby atakujące interesują się następującymi sektorami: wojskowym, stoczniowym oraz morskim, komputerowym, rozwoju oprogramowania, badań, operatorów telekomunikacyjnych i satelitarnych, mass mediów oraz telewizyjnym.
  • Z badania wynika, że osoby atakujące były zainteresowane atakami na dostawców z branży obronnej: Lig Nex1 oraz Selectron Industrial Company; firmy z branży stoczniowej: DSME Tech, Hanjin Heavy Industries; operatorów telekomunikacyjnych: Korea Telecom; firmy z branży mediów: Fuji TV oraz the Japan-China Economic Association.
  • Osoby atakujące przechwytują poufne dokumenty i plany korporacyjne, dane uwierzytelniające dostęp do kont e-mail, jak również hasła dostępu do różnych zasobów w obrębie i poza siecią ofiary.
  • Podczas operacji osoby atakujące wykorzystują zestaw trojanów „Icefog” (znany również jako „Fucobha”). Kaspersky Lab zidentyfikował wersje Icefoga zarówno dla systemu Microsoft Windows, jak i Apple OS X.
  • O ile w przypadku większości kampanii APT ofiary pozostają zainfekowane przez miesiące czy nawet lata, a w tym czasie osoby atakujące nieustannie wyprowadzają dane, operatorzy Icefoga wykorzystują swoje ofiary kolejno – lokalizując i kopiując jedynie określone informacje, na które polują, a gdy je zdobędą, znikają.
  • W większości przypadków operatorzy Icefoga wydają się dokładnie wiedzieć, czego chcą od ofiar. Szukają określonych nazw plików, które są szybko identyfikowane i przesyłane do serwerów kontrolowanych przez cyberprzestępców.

Atak i funkcjonalność

Analitykom z Kaspersky Lab udało się przejąć kontrolę nad 13 z ponad 70 domen wykorzystywanych przez osoby atakujące. Dzięki temu uzyskali dane dotyczące liczby ofiar na całym świecie. Ponadto, na serwerach kontroli Icefoga przechowywane były zaszyfrowane logi ofiar wraz z różnymi operacjami przeprowadzanymi na nich przez operatorów. Logi te mogą niekiedy pomóc w identyfikacji celów ataków, a w niektórych przypadkach – ofiar. Oprócz Japonii i Korei Południowej zaobserwowano również wiele połączeń w kilku innych krajach, w tym w Tajwanie, Hong Kongu, Chinach, Stanach Zjednoczonych, Australii, Kanadzie, Wielkiej Brytanii, we Włoszech, w Niemczech, Austrii, Singapurze, na Białorusi i w Malezji. Łącznie eksperci z Kaspersky Lab zaobserwowali ponad 4 000 unikatowych zainfekowanych adresów IP i kilkaset ofiar (kilkadziesiąt ofiar wykorzystujących system Windows i ponad 350 ofiar wykorzystujących system Apple OS X). 

Na podstawie listy adresów IP wykorzystywanej do monitorowania i kontrolowania infrastruktury eksperci z Kaspersky Lab przyjmują, że niektóre z osób stojących za tą operacją są zlokalizowane w co najmniej trzech państwach: Chinach, Korei Południowej i Japonii. 
Produkty firmy Kaspersky Lab wykrywają i eliminują wszystkie warianty tego szkodliwego oprogramowania. 
Pełny raport zawierający szczegółowy opis szkodliwych narzędzi oraz dane statystyczne wraz z symptomami włamania jest dostępny w języku angielskim na stroniehttp://www.securelist.com/en/downloads/vlpdfs/icefog.pdf

źródło: Kaspersky Lab

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]