Kaspersky Lab odhalila novou kybernetickou špionáž „Icefog“

26 IX 2013
Press Releases, Virus News

Moskva, 26. září 2013

Kaspersky Lab zveřejnila zprávu o objevu „Icefog“, malé, ale čilé skupině APT (Advanced Persistant Threat, vyspělá přetrvávající hrozba), která se soustředila na cíle zejména v Jižní Koreji a v Japonsku a zasáhla dodavatelské řetězce západních firem. Operace začala v roce 2011 a v posledních letech se rozšířila a zintenzivnila.

„Za poslední roky jsme viděli nespočet útoků APT na prakticky všechny typy obětí a odvětví. Ve většině případů útočníci působili v podnikových a vládních sítích po celé roky a dolovali z nich terabajty citlivých informací,“ řekl Costin Raiu, ředitel výzkumného týmu Kaspersky Lab. „Ukazuje se nový trend – malé gangy jdou po informacích s chirurgickou přesností. Útok obvykle trvá několik dní nebo týdnů a po získání toho, po čem jdou, zametou stopy a zmizí.“

Analytici Kaspersky Lab očekávají v blízké budoucnosti nárůst množství malých a přesně zacílených skupin APT, které budou své služby nabízet za úplatu a budou se specializovat na rychlé operace. „Stávají se z nich takoví ‚kybernetičtí žoldáci‘ v moderním světě,“ dodal Raiu.

Nejdůležitější zjištění Kaspersky Lab:

  • Útočníci měli zájem o cíle zejména v těchto odvětvích: armáda, stavba lodí a námořní operace, vývoj počítačů a softwaru, výzkumné společnosti, telekomunikační a satelitní operátoři, masová média a televize.
  • Výzkum ukazuje na to, že hlavními cíli byli dodavatelé pro obranný průmysl Lig Nex1 a Selectron Industrial Company, loďařské společnosti DSME Tech či Hanjin Heavy Industries, telekomunikační firma Korea Telecom, mediální společnost Fuji TV či organizace Japan-China Economic Association.
  • Útočníci odcizili citlivé dokumenty a plány společností, detaily o e-mailových účtech a hesla k různým zdrojům uvnitř i vně napadené sítě.
  • Během akce útočníci využili backdoor sadu „Icefog“ (také známou jako „Fucobha“). Kaspersky Lab identifikovala jejich verze pro Microsoft Windows i Mac OS X.
  • Zatímco u jiných APT kampaní byly oběti infikovány měsíce či roky, Icefog zpracovával oběti jednu po druhé, nalézal a kopíroval jen určité informace. Po jejich obdržení útočníci zmizeli.
  • Lidé stojící za útokem Icefog zřejmě dobře věděli, co od obětí potřebují. Hledali specifická jména souborů a složek, rychle je identifikovali a převáděli na servery C&C (command and control).

Útok a jeho technologie

Experti Kaspersky Lab prozkoumali 13 z více než 70 domén, které útočníci využili. Poskytlo jim to přehled o počtu obětí po celém světě. C&C servery útoku Icefog obsahovaly zašifrované údaje o obětech spolu s operacemi na nich provedenými. V některých případech to pomohlo oběti či cíle odhalit.

Kromě Jižní Koreje a Japonska experti odhalili spojení s dalšími zeměmi, včetně Tchaj-wanu, Hongkongu, Číny, USA, Austrálie, Kanady, Velké Británie, Itálie, Německa, Rakouska, Singapuru, Běloruska a Malajsie. Celkem to bylo 4000 IP adres a několik set obětí (desítky z nich užívaly Windows a více než 350 Mac OS X). Na základě analýzy IP adres využívaných ke sledování a ovládání infrastruktury analytici Kaspersky Lab předpokládají, že hlavní hráči stojící za útokem pocházejí z Číny, Jižní Koreje a Japonska.

Celou zprávu Kaspersky Lab o útoku Icefog si můžete přečíst zde.

Odpovědi na základní otázky jsou ke stažení zde.

© 1997 – 2014 Kaspersky Lab

All Rights Reserved. Industry-leading Antivirus Software