Nouvelle tendance: de petits groupes de cyber-mercenaires mènent des actions « éclair » très ciblée

Nouvelle tendance: de petits groupes de cyber-mercenaires mènent des actions « éclair » très ciblée

Kaspersky Lab dévoile « Icefog »: une nouvelle campagne de cyber-espionnage visant la chaîne d’approvisionnement de pays occidentaux

Utrecht, le 26 septembre 2013 – Les chercheurs de Kaspersky Lab publient aujourd’hui un nouveau rapport d’enquête sur « Icefog ». Ce petit groupe mène des attaques APT sur des objectifs en Corée du Sud et au Japon, en ciblant la chaîne d’approvisionnement d’entreprises occidentales. L’opération a débuté en 2011, mais son ampleur et sa portée ont augmenté au cours de ces dernières années.

"Ces dernières années, nous avons observé plusieurs attaques APT sur toutes sortes de victimes et de secteurs. Dans la majorité des cas, les pirates restent actifs pendant plusieurs années dans les réseaux des entreprises et des administrations qu’il ont attaqués, et ils exfiltrent des téraoctets d’informations sensibles”, indique Costin Raiu, Directeur du Global Research & Analysis Team. "La nature « éclair » des attaques Icefog démontre l’apparition d’une nouvelle tendance: des bandes de plus petite taille qui frappent rapidement, avant de disparaître tout aussi vite, et qui recherchent des informations spécifiques, avec une précision chirurgicale. L’attaque dure généralement deux ou trois jours ou semaines, et lorsque les informations recherchées ont été obtenues, les pirates éliminent leurs traces et s’envolent. A l’avenir, nous prédisons une augmentation du nombre de petits « groupes qui loueront leurs services pour mener des attaques APT » spécifiques, spécialisés dans ce genre d’opérations « éclair », une sorte de « cyber-mercenaires » des temps modernes".

Principaux constats sur Icefog:

  • Les pirates s’intéressent, sur la base des profils de cibles connues, aux secteurs suivants: défense, construction navale et opérations maritimes, développement d’ordinateurs et de logiciels, sociétés de recherches, opérateurs télécoms, fournisseurs de satellites, médias et télévision.
  • Les pirates ont mené leurs attaques contre des entrepreneurs de l’industrie de la défense (comme Lig Nex1 et Selectron Industrial Company), des sociétés de construction navale (DSME Tech et Hanjin Heavy Industries), des opérateurs télécoms (Korea Telecom), des sociétés de médias (Fuji TV) ainsi que la Japan-China Economic Association.
  • Les pirates dérobent des documents sensibles et des plans d’entreprises, ainsi que des données de comptes e-mail et des mots de passe donnant accès à différentes sources au sein et en dehors du réseau des victimes.
  • Les pirates utilisent l’ensemble backdoor « Icefog » (également connu sous le nom de « Fucobha »). Kaspersky Lab a identifié des versions d’Icefog tant pour Microsoft Windows que Mac OS X.
  • Les pirates ciblent les victimes une à une, de manière à localiser et copier uniquement des informations spécifiques ciblées. Dès qu’ils ont obtenu les informations souhaitées, ils disparaissent. Et ce contrairement aux autres campagnes APT où des victimes peuvent rester infectées pendant des mois, voire des années, et où les pirates continuent d’exfiltrer des données en permanence.
  • Les pirates savent exactement ce qu’ils veulent dérober aux victimes. Ils recherchent des noms de fichiers spécifiques qui sont rapidement identifiés et transférés aux serveurs de commande et de contrôle.

Attaque et fonctionnalités

Les chercheurs de Kaspersky ont créé un « sinkhole » pour 13 des plus de 70 domaines utilisés par les pirates, obtenant ainsi des statistiques sur le nombre de victimes au niveau mondial. De plus, les serveurs de commande et de contrôle Icefog tiennent à jour des journaux codés des victimes, en même temps que les différentes activités réalisées par les pirates sur ceux-ci. Ces journaux peuvent être utiles pour identifier des cibles d’attaques et, dans certains cas, les victimes. En dehors du Japon et de la Corée du Sud, de nombreuses connexions « sinkhole » ont été observées dans différents autres pays, comme Taiwan, Hong Kong, la Chine, les Etats-Unis, l’Australie, le Canada, le Royaume-Uni, l’Italie, l’Allemagne, l’Autriche, Singapour, la Biélorussie et la Malaisie. Au total, Kaspersky Lab a signalé plus de 4.000 adresses IP infectées et plusieurs centaines de victimes (plusieurs dizaines de victimes Windows et plus de 350 victimes Mac OS X).

En se basant sur la liste des adresses IP utilisées pour surveiller et contrôler l’infrastructure, les experts de Kaspersky Lab estiment que plusieurs des auteurs/initiateurs de cette opération sont établis au moins dans trois pays: la Chine, la Corée du Sud et le Japon.

Les produits de Kaspersky Lab détectent et éliminent toutes les variante de ce malware. Pour le rapport complet, avec une description détaillée des backdoors, statistiques et indicateurs des organisations touchées, veuillez-vous reporter à Securelist. Une rubrique Icefog FAQ complète est également disponible.

26.09.2013

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.