Nieuwe trend: kleine groepen cyberhuurlingen voeren precisie hit-en-run acties uit

26 okt 2013
Press Releases

Onderzoekers van Kaspersky Lab publiceren vandaag een nieuw onderzoeksrapport over "Icefog". Deze kleine Advanced Persistent Threats-groep (APT-groep) richt zich op doelen in Zuid-Korea en Japan en treft de supply chain van westerse bedrijven. De operatie begon in 2011 en nam in de afgelopen jaren zowel in omvang als reikwijdte toe.
"In de afgelopen jaren zagen we een aantal APT's aanvallen uitvoeren op vrijwel alle soorten slachtoffers en sectoren. In de meeste gevallen blijven aanvallers jarenlang actief in de door hen aangevallen bedrijfs- en overheidsnetwerken en exfiltreren ze terabytes aan gevoelige informatie”, aldus Costin Raiu, Directeur van het Global Research & Analysis Team. "De ‘hit and run’ aard van de Icefog-aanvallen toont een nieuwe opkomende trend: kleinere bendes die snel toeslaan en even snel weer verdwijnen en die met een chirurgische precisie op zoek gaan naar specifieke informatie. De aanval duurt meestal een paar dagen of weken en als de gezochte informatie binnen is, elimineren de aanvallers hun sporen en vertrekken ze. We voorspellen voor de toekomst een toename van het aantal kleine, specifieke ’APT-te-huur-groeperingen’ die gespecialiseerd zijn in dergelijke hit-and-run operaties; een soort ‘cyberhuurlingen’ van de moderne tijd".
De belangrijkste Icefog-bevindingen:

  • De aanvallers hebben belangstelling, gebaseerd op de profielen van bekende doelwitten, voor de volgende sectoren: defensie, scheepsbouw en maritieme operaties, computer- en software-ontwikkeling, onderzoeksbedrijven, telecomaanbieders, satellietaanbieders, massamedia en televisie.
  • De aanvallers waren geïnteresseerd in en richtten hun aanvallen op aannemers uit de defensie-industrie (zoals Lig Nex1 en Selectron Industrial Company), scheepsbouwbedrijven (DSME Tech en Hanjin Heavy Industries), telecomaanbieders (Korea Telecom), mediabedrijven (Fuji TV) en de Japan-China Economic Association.
  • De aanvallers maken gevoelige documenten en ondernemingsplannen buit, evenals gegevens van e-mailaccounts en wachtwoorden die toegang bieden tot verschillende bronnen binnen en buiten het netwerk van de slachtoffers.
  • De aanvallers maken gebruik van de "Icefog" backdoor set (ook bekend als "Fucobha"). Kaspersky Lab identificeerde Icefog-versies voor zowel Microsoft Windows als Mac OS X.
  • De aanvallers handelen de slachtoffers een voor een af waarbij ze alleen specifieke, doelgerichte informatie lokaliseren en kopiëren. Zodra de gewenste informatie is verkregen, verdwijnen ze. Dit in tegenstelling tot de meeste andere APT-campagnes waarbij slachtoffers maanden- of zelfs jarenlang geïnfecteerd blijven en de aanvallers continu data blijven exfiltreren. 
  • De aanvallers weten precies wat ze nodig hebben van de slachtoffers. Ze zoeken naar specifieke bestandsnamen die snel worden geïdentificeerd en overgedragen aan het C&C.

Aanval & functionaliteit
De onderzoekers van Kaspersky creëerden een sinkhole voor 13 van de ruim 70 domeinen die de aanvallers gebruikten. Dit leverde statistieken op over het aantal slachtoffers wereldwijd. Daarnaast houden de Icefog Command & Control servers gecodeerde logs bij van de slachtoffers, samen met de verschillende activiteiten die door de aanvallers op hen worden uitgevoerd. Deze logs kunnen helpen bij het identificeren van de doelwitten van aanvallen en, in sommige gevallen, van de slachtoffers. Behalve in Japan en Zuid-Korea werden veel sinkhole-verbindingen waargenomen in diverse andere landen, waaronder Taiwan, Hong Kong, China, de VS, Australië, Canada, het Verenigd Koninkrijk, Italië, Duitsland, Oostenrijk, Singapore, Wit-Rusland en Maleisië. In totaal signaleerde Kaspersky Lab meer dan 4.000 unieke geïnfecteerde IP's en enkele honderden slachtoffers (enkele tientallen Windows-slachtoffers en meer dan 350 Mac OS X-slachtoffers).

Op basis van de IP-adressenlijst die werd gebruikt om de infrastructuur te bewaken en te controleren, gaan de Kaspersky Lab experts ervan uit dat enkele van de spelers/initiatiefnemers achter deze operatie zijn gevestigd in ten minste drie landen: China, Zuid-Korea en Japan.

De producten van Kaspersky Lab detecteren en elimineren alle varianten van deze malware.
Voor het volledige rapport, inclusief een gedetailleerde beschrijving van de backdoors, statistieken en indicatoren van getroffen organisaties verwijzen wij u graag naar Securelist. Ook is een complete Icefog FAQ beschikbaar.

 DEZE PAGINA DELEN