Ny trend: Cyber-lejesoldater udfører hit-and-run operationer

26 sep 2013
Press Releases

Kaspersky Labs forskerteam har netop publiceret en rapport omkring opdagelsen af ”Icefog”, en fokuseret og energisk cyberspionagekampagne, der går efter mål i Sydkorea og Japan, hvor den angriber vestlige virksomheders forsyningskæder. Angrebene begyndte i 2011 og er vokset i størrelse og omfang i løbet af de seneste år.

“I de seneste år har vi set cyberspionagekampagner ramme stort set alle former for ofre og sektorer, offentlige som private. I langt de fleste tilfælde opretholder de kriminelle et fodfæste i de angrebne virksomheder eller institutioners netværk i årevis, hvor de aflurer en stor mængde følsomme oplysninger”, fortæller Costin Raiu, direktør for Kaspersky Labs Global Research & Analysis Team (GReAT).
”Icefogs hit-and-run operationer demonstrerer derimod en ny trend inden for cyberspionage, nemlig mindre hit-and-run bander, der lader sig hyre til at sjæle specifikke informationer. Operationerne, der foregår med kirurgisk præcision, varer som regel kun nogle få dage eller uger, og når de kriminelle har fået fat i det, de ledte efter, rydder de op efter sig og smutter igen. Og netop denne form små, fokuserede grupper af cyber-lejesoldater, der specialiserer sig i hit-and-run operationer, kommer vi til at se flere af i fremtiden”, spår Constin Raiu.

Kort om Icefog:

  • Baseret på de kendte måls profiler, er angriberne tilsyneladende interesseret i følgende sektorer: Militær, skibsbyggeri og maritime operationer, computer og softwareudvikling, forskningsvirksomheder, teleoperatører, satellitoperatører, massemedier og tv. Undersøgelser indikerer, at angriberne bl.a. var interesseret i at ramme virksomheder inden for forsvarsindustrien, herunder LIG Nex1 og Selectron Industrial Company, skibsbyggervirksomheder som DSME Tech og Hanjin Heavy Industries, teleoperatører som Korea Telecom, medievirksomheder som Fuji TV samt Japan-China Economic Association.
  • Angriberne hijacker følsomme dokumenter og virksomhedsplaner samt e-mailkontooplysninger og passwords, der kan skaffe dem adgang til forskellige ressourcer både inden og uden for ofrets netværk.
  • Under operationen benytter angriberne en Icefog-backdoor (også kendt som Fucobha). Kaspersky Lab har identificeret versioner af Icefog til både Microsoft Windows og Mac OS X.
  • Ved de fleste cyber-spionagekampagner forbliver ofrene inficerede i måneder – sommetider endda år – hvor angriberne fortsat aflurer og udleder store mængder data. Ved Icefog-operationerne angriber de cyber-kriminelle ofrene én for én, lokaliserer og stjæler udelukkende specifik og målrettet information, hvorefter de forlader ofrets computer igen.
  • I de fleste tilfælde synes angriberne at vide meget specifikt, hvad de vil stjæle fra ofrene. De leder efter specifikke filnavne, der hurtigt er identificeret og overført til Command & Control-serveren (C&C).

Kaspersky Labs eksperter har via et sinkhole indfanget 13 af de mere end 70 domæner, som angriberne benytter sig af. Det har givet oplysninger om antallet af ofre verden rundt. Hertil kommer, at Icefogs C&C-servere vedligeholder krypterede logs omkring ofrene og de forskellige operationer udført imod dem. Disse logs kan til tider hjælpe med at identificere målet for angrebet og i nogle tilfælde ofrene. Udover Japan og Sydkorea blev der observeret sinkhole-forbindelser i flere andre lande, herunder Taiwan, Hong Kong, Kina, USA, Australien, Canada, Storbritanien, Italien, Tyskland, Østrig, Singapore, Hviderusland og Malaysia. Totalt set observerede Kaspersky Lab mere end 4000 unikke inficerede IP-adresser og flere hundrede ofre (et par dusin Windows-ofre og flere end 350 Mac OS X-ofre).

På baggrund af listen over IP-adresser brugt til at monitorere og kontrollere infrastrukturen, formoder Kaspersky Labs eksperter, at trusselsaktørerne bag operationen har base i mindst tre lande, nemlig Kina, Sydkorea og Japan.

Læs mere om Icefog her: http://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers

Copyright © 1997 - 2014 Kaspersky Lab

Alle rettigheder forbeholdes. Branchens førende antivirussoftware.