Исследовательский центр “Лаборатории Касперского” выпустил отчет, раскрывающий действия кибершпионской группы Icefog, нацеленной на организации Южной Кореи и Японии и наносящей урон поставщикам компонентов оборонной отрасли США. Активность группы началась в 2011 г., а в середине 2012-го ее деятельность приобрела новый масштаб.
“За последние несколько лет мы стали свидетелями множества таргетированных атак, бьющих по самым различным отраслям. Во многих случаях злоумышленники годами присутствовали в корпоративных и правительственных сетях и перехватывали терабайты ценных данных, – прокомментировал Виталий Камлюк, ведущий антивирусный эксперт “Лаборатории Касперского”. – Но тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с “хирургической” точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Мы ожидаем роста числа подобных групп, специализирующихся на фокусированных атаках – что-то вроде современных кибернаемников”.
Исследование показывает, что среди целей группы были подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), судостроительные компании (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, телекоммуникационные операторы (Korea Telecom), медиа-компании (Fuji TV) и Японо-Китайская Экономическая Ассоциация. Взламывая компьютеры, киберпреступники перехватывают внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных.
Во время атак злоумышленники используют вредосноные программы семейства “Icefog” (так же известного, как “Fucobha”). Специалисты “Лаборатории Касперского” обнаружили версии “Icefog” как для Microsoft Windows, так и для Mac OS X. Тогда как в случае других кибершпионских кампаний компьютеры жертв оставались зараженными месяцами или даже годами, позволяя злоумышленникам постоянно перехватывать данные, операторы Icefog обрабатывают свои цели одну за другой: находят и копируют только необходимую информацию, после чего самоустраняются. Чаще всего операторы заранее знают, что им требуется на зараженных компьютерах. Они ищут определенные имена файлов, показывая навыки японского и корейского языков, и когда находят то, что искали – передают на управляющий сервер.
Эксперты с помощью техники “DNS-sinkhole” получили возможность мониторинга 13 из более чем 70 доменов, используемых злоумышленниками. Это предоставило дополнительную статистику по количеству и географии жертв в мире. Также на управляющих серверах в открытом доступе, но в зашифрованном виде были обнаружены журналы с описанием каждого действия, совершенного атакующими на зараженных компьютерах. В некоторых случаях это помогло определить цели атаки и идентифицировать жертв. В дополнение к Японии и Южной Кореи, было зарегистрировано множество попыток соединений из Тайвани, Гонконга, Китая, США, Австралии, Канады, Великобритании, Италии, Германии, Австрии, Сингапура, Белоруссии и Малайзии. В общей сложности, эксперты “Лаборатории Касперского” наблюдали более 4000 уникальных IP-адресов зараженных машин, принадлежащих сотням жертв, 350 из которых пользовались Mac OS X, и лишь несколько десятков – Microsoft Windows. Основываясь на ряде улик, оставленных атакующими, специалисты “Лаборатории Касперского” предполагают, что члены этой группы могут находиться в одной из трех стран: Китай, Южная Корея или Япония. Стоит также отметить, что практически все внутренние сообщения, найденные во вредоносной программе, были на китайском языке, так же как и ее код с основным языком операционной системы сервера управления Icefog. (Касперский/NovostIT)
