Kaspersky Lab a descoperit Icefog: o nouă campanie de spionaj cibernetic

27 septembrie 2013

Echipa de cercetare a Kaspersky Lab a publicat în cursul nopţii trecute un raport de cercetare cu privire la descoperirea acţiunii „Icefog”, o grupare APT ce atacă ţinte din Coreea de Sud şi Japonia, concentrându-se pe lanţurile de aprovizionare pentru companiile occidentale. Operaţiunea a început în 2011 şi a evoluat de-a lungul anilor trecuţi.

Kaspersky Lab a descoperit Icefog: o nouă campanie de spionaj cibernetic

Echipa de cercetare a Kaspersky Lab a publicat în cursul nopţii trecute un raport de cercetare cu privire la descoperirea acţiunii „Icefog”, o grupare APT ce atacă ţinte din Coreea de Sud şi Japonia, concentrându-se pe lanţurile de aprovizionare pentru companiile occidentale. Operaţiunea a început în 2011 şi a evoluat de-a lungul anilor trecuţi.

„În ultimii ani, grupurile de tip ‚APT’ au avut ca ţintă aproape toate tipurile de victime şi sectoare”, a spus Costin Raiu, directorul echipei globale de cercetare şi analiză (GReAT) a Kaspersky Lab. „În majoritatea cazurilor, atacatorii rămân conectaţi ani întregi la reţelele corporaţiilor şi guvernelor, extrăgând informaţii confidenţiale. Acest tip nou de atacuri – ‚hit&run’ – ce caracterizează Icefog, demonstrează că există o nouă tendinţă – grupări mai mici, care dau lovituri cu o precizie chirurgicală. Atacul durează, în general, câteva zile sau săptămâni, iar după ce obţin ceea ce căutau, atacatorii fac curăţenie în urma lor şi dispar. Pe viitor, previzionăm că numărul de grupări de tip APT care pot fi angajate pe „contract” va creşte, acestea specializându-se în operaţiuni de tip „hit&run”, fiind un fel de echipe de „mercenari cibernetici” ai lumii moderne”, a încheiat Costin Raiu.

Principalele descoperiri:

  • Ţinând cont de tipul ţintelor identificate, atacatorii par a fi interesaţi de următoarele domenii de activitate: militar, construcţii de nave maritime şi operaţiuni maritime de transport, dezvoltarea de software, companii de cercetare, operatorii telecom, operatorii de comunicatii prin satelit, mass media şi televiziune.
  • Printre ţintele de care au fost interesaţi atacatorii, conform cercetării, se numără contractorii din industria militară cum sunt Lig Nex1 şi Selectron Industrial Company, companii de construcţii de nave maritime ca DSME Tech, Hanjin Heavy Industries, operatori telecom - Korea Telecom, companii media ca Fuji TV şi Japan-China Economic Association.
  • Atacatorii fură documente confidenţiale şi planuri ale companiilor, informaţii legate de conturile de e-mail şi parole de acces la diverse resurse din interiorul sau din afara reţelei victimei.
  • În timpul operaţiunii, atacatorii utilizează setul backdoor „Icefog” (cunoscut şi ca „Fucobha”). Kaspersky Lab a identificat versiuni ale Icefog atât pentru Microsoft Windows, cât şi pentru Mac OS X.
  • Deşi în majoritatea altor campanii APT victimele rămân infectate timp de luni sau ani de zile, în vreme ce atacatorii fură în mod constant informaţii, operatorii Icefog procesează victimele una câte una – localizând şi copiind numai informaţii specifice.
  • În majoritatea cazurilor, operatorii Icefog par să ştie foarte bine ce caută atunci când atacă o anumită entitate. Ei caută nume specifice de fişiere, care sunt identificate rapid şi apoi sunt transferate în centrul de comandă şi control.

Atacul şi funcţionalitatea

Cercetătorii Kaspersky Lab au reuşit să preia controlul asupra 13 dintre cele peste 70 de domenii utilizate de către atacatori. Astfel, echipa de cercetare a reuşit să obţină statistici în ceea ce priveşte numărul de victime la nivel mondial. În plus, serverele de comandă şi control ale Icefog păstrează arhive criptate cu informaţii despre victime, alături de tehnicile utilizate asupra lor. Aceste arhive pot fi de folos în identificarea ţintelor atacurilor şi, în anumite cazuri, a victimelor. Pe lângă Japonia şi Coreea de Sud, au mai fost identificate conexiuni din mai multe alte ţări, inclusiv Taiwan, Hong King, China, SUA, Australia, Canada, Marea Britanie, Italia, Germania, Austria, Singapore, Belarus şi Malaysia. În total, Kaspersky Lab a descoperit peste 4.000 de IP-uri unice infectate şi câteva sute de victime (câteva zeci de victime care rulau Windows şi peste 400 de victime Mac OS X).

Pe baza listei de IP-uri utilizate pentru a monitoriza şi a controla infrastructura, experţii Kaspersky Lab presupun că jucătorii din spatele acestei operaţiuni acţionează din cel puţin trei ţări – China, Coreea de Sud şi Japonia.

Produsele Kaspersky Lab detectează şi elimină toate variantele malware-lui Icefog.

Raportul complet, în care se regăseşte descrierea detaliată a backdoor-urilor, a altor instrumente malware şi statistici, alături de indicatori ai compromiterii, accesaţi Securelist. De asemenea, este disponibil şi un document FAQ despre Icefog.

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare

Românii au făcut cumpărături online în valoare de peste 3,5 miliarde de euro în 2018, cu 30% mai mult decât în 2017 | Raportul Pieței de E-Commerce GPeC 2018

Potrivit lui Andrei Radu, CEO & Founder GPeC, „creșterea de aproape 30 de procente este una dintre cele mai mari din Europa pentru al doilea an consecutiv, fapt care demonstrează potențialul uriaș al pieței românești de e-commerce. Dacă facem o medie, românii au cheltuit pentru cumpărături online aproape 10 milioane de euro în fiecare zi din 2018, în cre...

Citește tot arrow_forward

România, cea mai afectată țară din lume de amenințarea informatică a momentului

Specialiștii în securitate informatică de la Bitdefender au descoperit o amenințare informatică agresivă care se ascunde pe dispozitivul infectat și are acces la toate datele personale ale victimei.Denumită Scranos, amenințarea se răspândește rapid la nivel global, cu activitate extrem de intensă în România, India, Brazilia, Franța, Italia și Indonezia. Scranos...

Citește tot arrow_forward

Performanta pentru companiile de distributie cu SocrateERP

SocrateERP de la BITSoftware este 100% pregatit pentru a raspunde firmelor din distributie, care doresc să integreze si sa automatizeze toate procesele și canalele de distributie, cu functionalitati care acopera de la aprovizionare, optimizarea stocurilor si depozitelor, gestiunea comenzilor si a vanzarilor, optimizarea livrarii, controlul preturilor, marjelor si discounturilor, gestiunea financ...

Citește tot arrow_forward