Kaspersky Lab odhalila novou kybernetickou špionáž „Icefog“

Kaspersky Lab odhalila novou kybernetickou špionáž "Icefog".

Společnost Kaspersky Lab zveřejnila zprávu o objevu „Icefog“, malé, ale čilé skupiny APT (Advanced Persistant Threat - vyspělá přetrvávající hrozba), která se soustředila na cíle zejména v Jižní Koreji a v Japonsku a zasáhla tak dodavatelské řetězce západních firem. Celá operace začala již v roce 2011 a v posledních letech se významně rozšířila a nabrala na intenzitě.

Analytici Kaspersky Lab očekávají v blízké budoucnosti nárůst množství malých a přesně zacílených skupin APT, které budou své služby nabízet za úplatu a budou se specializovat na rychlé operace. „Stávají se z nich takoví ‚kybernetičtí žoldáci' v moderním světě," dodal Raiu.

Nejdůležitější zjištění Kaspersky Lab:

• Útočníci měli zájem o cíle zejména v těchto odvětvích: armáda, stavba lodí a námořní operace, vývoj počítačů a softwaru, výzkumné společnosti, telekomunikační a satelitní operátoři, masová média a televize.
• Výzkum ukazuje na to, že hlavními cíli byli dodavatelé pro obranný průmysl Lig Nex1 a Selectron Industrial Company, loďařské společnosti DSME Tech či Hanjin Heavy Industries, telekomunikační firma Korea Telecom, mediální společnost Fuji TV či organizace Japan-China Economic Association.
• Útočníci odcizili citlivé dokumenty a plány společností, detaily o e-mailových účtech a hesla k různým zdrojům uvnitř i vně napadené sítě.
• Během akce útočníci využili backdoor sadu „Icefog“ (také známou jako „Fucobha“). Kaspersky Lab identifikovala jejich verze pro Microsoft Windows i Mac OS X.
• Zatímco u jiných APT kampaní byly oběti infikovány měsíce či roky, Icefog zpracovával oběti jednu po druhé, nalézal a kopíroval jen určité informace. Po jejich obdržení útočníci zmizeli.
• Lidé stojící za útokem Icefog zřejmě dobře věděli, co od obětí potřebují. Hledali specifická jména souborů a složek, rychle je identifikovali a převáděli na servery C&C (command and control).

Útok a jeho technologie

Experti Kaspersky Lab prozkoumali 13 z více než 70 domén, které útočníci využili. Poskytlo jim to přehled o počtu obětí po celém světě. C&C servery útoku Icefog obsahovaly zašifrované údaje o obětech spolu s operacemi na nich provedenými. V některých případech to pomohlo oběti či cíle odhalit.

Kromě Jižní Koreje a Japonska experti odhalili spojení s dalšími zeměmi, včetně Tchaj-wanu, Hongkongu, Číny, USA, Austrálie, Kanady, Velké Británie, Itálie, Německa, Rakouska, Singapuru, Běloruska a Malajsie. Celkem to bylo 4000 IP adres a několik set obětí (desítky z nich užívaly Windows a více než 350 Mac OS X). Na základě analýzy IP adres využívaných ke sledování a ovládání infrastruktury analytici Kaspersky Lab předpokládají, že hlavní hráči stojící za útokem pocházejí z Číny, Jižní Koreje a Japonska.

Celou zprávu Kaspersky Lab o útoku Icefog si můžete přečíst zde.