Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/09/2013
Icefog: una nova campanya de ciberespionatge
L’equip d’investigació en seguretat de Kaspersky Lab ha publicat un nou treball d’investigació sobre el descobriment d’Icefog, un xicotet però energètic grup d’APT (amenaces persistents i avançades, per les seues sigles en anglés), que se centra en blancs en Corea del Sud i Japó, tot atacant les cadenes de subministrament d’empreses occidentals. L’operació es va iniciar en 2011 i ha crescut en grandària i abast en els últims anys.
"Durant els últims anys, hem vist nombroses APT que ataquen una gran diversitat de víctimes i sectors. En la majoria dels casos, els atacants mantenen una presència en les xarxes corporatives i governamentals durant anys, extraient terabytes d’informació confidencial", va dir Costin Raiu, director de l’Equip Mundial d’Investigació i Anàlisi. "La naturalesa 'rellamp' dels atacs Icefog demostren una nova tendència: xicotetes bandes que ataquen de forma rellamp i extrauen la informació amb precisió quirúrgica. L’atac sol durar uns pocs dies o setmanes, i després d’haver obtingut el que buscaven, els atacants esborren les seues empremtes i se’n van. En el futur, podem preveure un creixement en el nombre de xicotets grups d’APT "a sou", especialitzats en operacions rellamp, una espècie de "mercenaris cibernètics" del món modern".
Principals conclusions:
- Basant-nos en els perfils dels blancs coneguts, els atacants semblen estar interessats en els sectors següents: operacions militars, navals i marítimes, informàtica i desenrotllament de programari, empreses d’investigació, operadors de telecomunicacions, operadors de satèl·lits, mitjans de comunicació massiva i televisió.
- La investigació indica que els atacants tenien interés a atacar empreses de la indústria de la defensa, com Lig Nex1 i Selectron Industrial Company, empreses navilieres com DSME Tech, Hanjin Heavy Industries, operadors de telecomunicacions, com ara Korea Telecom, empreses de comunicació, com Fuji TV i Japan-China Economic Association.
- Els atacants violen documents i plans empresarials confidencials, dades del compte de correu electrònic i contrasenyes d’accés a diferents recursos dins i fora de la xarxa de la víctima.
- Durant l’operació, els atacants utilitzen el conjunt de porta posterior "Icefog" (també conegut com "Fucobha"). Kaspersky Lab ha identificat versions d’Icefog tant per a Microsoft Windows com per a Mac OS X.
- Si bé en la majoria de les campanyes d’APT les víctimes romanen infectades durant mesos o inclús anys, i els atacants realitzen una extracció contínua de dades, els operadors d’Icefog processen les seues víctimes al mateix temps - localitzen i copien només la informació específica a què apunten. Una vegada que la informació requerida s’ha obtingut, se’n van.
- En la majoria dels casos, els operadors d’Icefog pareixen saber molt bé el que necessiten de les víctimes. Busquen noms d’arxiu específics, que s’identifiquen amb rapidesa, i es transferixen a la C & C.
L’atac i la seua funcionalitat
Els investigadors de Kaspersky Lab han fet un snikhole DNS de 13 dels més de 70 dominis utilitzats pels atacants, la qual cosa va proporcionar estadístiques sobre el nombre de víctimes en tot el món. A més, els servidors de comando i control d’Icefog mantenen registres xifrats de les víctimes, junt amb les diverses operacions que els operadors realitzen amb elles. Estos registres a vegades poden ajudar a identificar els objectius dels atacs i, en alguns casos, les víctimes. A més de Japó i Corea del Sud, es van observar moltes connexions identificades en uns quants països més, entre ells Taiwan, Hong Kong, Xina, EUA, Austràlia, Canadà, Regne Unit, Itàlia, Alemanya, Àustria, Singapur, Bielorússia i Malàisia. En total, Kaspersky Lab va observar més de 4.000 IP infectades i diversos centenars de víctimes (una dotzena de víctimes de Windows i més de 350 víctimes de Mac OS X).
Basat en la llista de direccions IP utilitzades per a monitorejar i controlar la infraestructura, els experts de Kaspersky Lab suposen que alguns dels autors de les amenaces darrere d’esta operació estan radicats en almenys tres països: Xina, Corea del Sud i Japó.