Kaspersky Lab anuncia a descoberta de "Icefog", uma campanha de ciberespionagem que recorre a “cibermercenários”

26 set 2013
Comunicados de Imprensa

  • Surge uma nova tendência, o aparecimento de pequenos grupos de “cibermercenários” cujos serviços são contratados para perpetrar golpes e executar operações muito precisas
  • Os cibercriminosos mostram interesse pelo sector militar, desenvolvimento de sistemas, empresas de investigação, operadores de telecomunicações, operadores de satélite e meios de comunicação 
  • Foram identificadas versões do Icefog tanto em sistemas Windows como Mac OS X
  • Além do Japão e da Coreia do Sul, foram registadas muitas ligações do sinkhole com vários outros países, incluindo Taiwan, Hong Kong, China, EUA, Austrália, Canadá, Reino Unido, Itália, Alemanha, Áustria, Singapura, Bielorrússia e Malásia 
  •  Ao todo, foram descobertos mais de 4.000 IPs únicos infectados e várias centenas de vítimas (algumas dezenas de sistemas Windows e mais de 350 do sistemas Mac OS X

A equipa de investigação de segurança da Kaspersky Lab publica hoje um novo trabalho de investigação sobre a descoberta do "Icefog", um pequeno mas muito activo grupo de APT (Ameaças Persistentes Avançadas) centrado em alvos da Coreia do Sul e Japão, perturbando o funcionamento da cadeia de distribuição de empresas ocidentais. A operação teve início em 2011 e aumentou em tamanho e alcance nos últimos anos.

"Durante os últimos anos observámos um elevado número de APTs que atacavam qualquer tipo de vítima e sector. Na maioria dos casos, os atacantes mantêm uma presença nas redes corporativas e governamentais durante anos e extraem terabytes de informação confidencial”, afirma Costin Raiu, Director, Global Research & Analysis Team da Kaspersky Lab. "A natureza dos ataques Icefog demonstra, no entanto, uma nova tendência: o surgimento de pequenos grupos que actuam perseguindo informação com intervenções muito precisas. O ataque normalmente dura poucos dias ou semanas e, após terem obtido o que procuravam, os atacantes limpam os seus vestígios e saem rapidamente de cena. Nós acreditamos que, nu futuro, aumentará o número de grupos pequenos focados em APT de aluguer e especializados em operações de hit-and-run, uma espécie de "cibermercenários".

Principais conclusões:
- De acordo com os perfis dos alvos descobertos, os cibercriminosos parecem ter um interesse especial nos seguintes sectores: militar, naval e operações marítimas, desenvolvimento de sistemas, empresas de investigação, operadores de telecomunicações, operadores de satélite, meios de comunicação e televisão.

- Algumas destas empresas são a Lig Nex1 e a Selectron Industrial Company, do sector da defesa; DSME Tech e Hanjin Heavy Industries do sector da construção naval; operadores de telecomunicações como a Korea Telecom; e meios de comunicação como a Fuji TV e a Japan-China Economic Association.

- Os atacantes sequestram documentos sensíveis, planos de negócio das empresas, credenciais de contas de email e senhas de acesso a diferentes recursos dentro e fora da rede da vítima.

- Durante a operação, os atacantes recorreram ao conjunto de backdoor "Icefog" (também conhecido por "Fucobha"). A Kaspersky Lab identificou versões do Icefog destinadas tanto a sistemas com Microsoft Windows como Mac OS X.

- Na maioria das campanhas de APT, as vítimas permanecem infectadas durante meses ou inclusive anos, período de tempo durante o qual os atacantes continuam a roubar dados. Neste caso, porém, os operadores do Icefog estão a processar as vítimas uma a uma – localizam e copiam apenas informação específica, e, uma vez obtida, saem rapidamente de cena sem deixar rasto.

- Em quase todos os casos, os operadores do Icefog parecem saber muito bem o que precisam das vítimas. Procuram nomes de ficheiro específicos, que identificam rapidamente e transferem para os servidores C&C.

O ataque e a sua funcionalidade

Os analistas da Kaspersky conseguiram “sinkholizar” 13 dos mais de 70 domínios utilizados pelos atacantes. Isto resultou na obtenção de dados concretos sobre o número de vítimas existentes em todo mundo. Além disso, os servidores de comando e controlo do Icefog mantêm registos encriptados das vítimas, juntamente com as diversas operações realizadas sobre eles pelos operadores. Estes registos por vezes podem ajudar a identificar os alvos dos ataques e, em alguns casos, as próprias vítimas. Além do Japão e Coreia do Sul, foram observadas muitas ligações do sinkhole com outros países, incluindo Taiwan, Hong Kong, China, EUA, Austrália, Canadá, Reino Unido, Itália, Alemanha, Áustria, Singapura, Bielorrússia e Malásia. Ao todo, a Kaspersky Lab registou mais de 4.000 IPs únicos infectados e várias centenas de vítimas (algumas dezenas com sistemas Windows e mais de 350 com Mac OS X).

Com base na lista de endereços IP utilizada para monitorizar e controlar a infra-estrutura, os analistas da Kaspersky Lab assumem que alguns dos protagonistas desta operação estão sediados em pelo menos três países: China, Coreia do Sul e Japão.

Os produtos da Kaspersky Lab detectam e eliminam todas as variantes deste malware.

Links de utilidade:

Relatório completo em inglês na Securelist
http://newsroom.kaspersky.eu/pt/home/