Echipa de cercetare a Kaspersky Lab a publicat în cursul nopţii trecute un raport de cercetare cu privire la descoperirea acţiunii „Icefog”, o grupare APT ce atacă ţinte din Coreea de Sud şi Japonia, concentrându-se pe lanţurile de aprovizionare pentru companiile occidentale. Operaţiunea a început în 2011 şi a evoluat de-a lungul anilor trecuţi.
„În ultimii ani, grupurile de tip ‚APT’ au avut ca ţintă aproape toate tipurile de victime şi sectoare”, a spus Costin Raiu, directorul echipei globale de cercetare şi analiză (GReAT) a Kaspersky Lab. „În majoritatea cazurilor, atacatorii rămân conectaţi ani întregi la reţelele corporaţiilor şi guvernelor, extrăgând informaţii confidenţiale. Acest tip nou de atacuri – ‚hit&run’ – ce caracterizează Icefog, demonstrează că există o nouă tendinţă – grupări mai mici, care dau lovituri cu o precizie chirurgicală. Atacul durează, în general, câteva zile sau săptămâni, iar după ce obţin ceea ce căutau, atacatorii fac curăţenie în urma lor şi dispar. Pe viitor, previzionăm că numărul de grupări de tip APT care pot fi angajate pe „contract” va creşte, acestea specializându-se în operaţiuni de tip „hit&run”, fiind un fel de echipe de „mercenari cibernetici” ai lumii moderne”, a încheiat Costin Raiu.
Principalele descoperiri:
• Ţinând cont de tipul ţintelor identificate, atacatorii par a fi interesaţi de următoarele domenii de activitate: militar, construcţii de nave maritime şi operaţiuni maritime de transport, dezvoltarea de software, companii de cercetare, operatorii telecom, operatorii de comunicatii prin satelit, mass media şi televiziune.
• Printre ţintele de care au fost interesaţi atacatorii, conform cercetării, se numără contractorii din industria militară cum sunt Lig Nex1 şi Selectron Industrial Company, companii de construcţii de nave maritime ca DSME Tech, Hanjin Heavy Industries, operatori telecom – Korea Telecom, companii media ca Fuji TV şi Japan-China Economic Association.
• Atacatorii fură documente confidenţiale şi planuri ale companiilor, informaţii legate de conturile de e-mail şi parole de acces la diverse resurse din interiorul sau din afara reţelei victimei.
• În timpul operaţiunii, atacatorii utilizează setul backdoor „Icefog” (cunoscut şi ca „Fucobha”). Kaspersky Lab a identificat versiuni ale Icefog atât pentru Microsoft Windows, cât şi pentru Mac OS X.
• Deşi în majoritatea altor campanii APT victimele rămân infectate timp de luni sau ani de zile, în vreme ce atacatorii fură în mod constant informaţii, operatorii Icefog procesează victimele una câte una – localizând şi copiind numai informaţii specifice.
• În majoritatea cazurilor, operatorii Icefog par să ştie foarte bine ce caută atunci când atacă o anumită entitate. Ei caută nume specifice de fişiere, care sunt identificate rapid şi apoi sunt transferate în centrul de comandă şi control.
Atacul şi funcţionalitatea
Cercetătorii Kaspersky Lab au reuşit să preia controlul asupra 13 dintre cele peste 70 de domenii utilizate de către atacatori. Astfel, echipa de cercetare a reuşit să obţină statistici în ceea ce priveşte numărul de victime la nivel mondial. În plus, serverele de comandă şi control ale Icefog păstrează arhive criptate cu informaţii despre victime, alături de tehnicile utilizate asupra lor. Aceste arhive pot fi de folos în identificarea ţintelor atacurilor şi, în anumite cazuri, a victimelor. Pe lângă Japonia şi Coreea de Sud, au mai fost identificate conexiuni din mai multe alte ţări, inclusiv Taiwan, Hong King, China, SUA, Australia, Canada, Marea Britanie, Italia, Germania, Austria, Singapore, Belarus şi Malaysia. În total, Kaspersky Lab a descoperit peste 4.000 de IP-uri unice infectate şi câteva sute de victime (câteva zeci de victime care rulau Windows şi peste 400 de victime Mac OS X).
Pe baza listei de IP-uri utilizate pentru a monitoriza şi a controla infrastructura, experţii Kaspersky Lab presupun că jucătorii din spatele acestei operaţiuni acţionează din cel puţin trei ţări – China, Coreea de Sud şi Japonia.
Produsele Kaspersky Lab detectează şi elimină toate variantele malware-lui Icefog.
Raportul complet, în care se regăseşte descrierea detaliată a backdoor-urilor, a altor instrumente malware şi statistici, alături de indicatori ai compromiterii, accesaţi Securelist. De asemenea, este disponibil şi un document FAQ despre Icefog.