H Kaspersky Lab δημοσίευσε σήμερα μια αναλυτική έκθεση σχετικά με την Icefog, μία εξελιγμένη εκστρατεία κατασκοπείας στον κυβερνοχώρο που στοχεύει σε υψηλού προφίλ οργανώσεις, κυρίως προς τη Νότια Κορέα και την Ιαπωνία. Το όνομα αυτής της προηγμένης μόνιμης απειλής (APT) πηγάζει από την ονοματολογία malwares που χρησιμοποιούν οι εγκληματίες στο C&C (command-and-control server).
Σύμφωνα με την Kaspersky, οι στρατιωτικοί, οι κρατικοί οργανισμοί, οι φορείς εκμετάλλευσης τηλεπικοινωνιών, οι ναυπηγικές εταιρείες, τα μέσα μαζικής ενημέρωσης, οι βιομηχανικές εταιρείες που έχουν hi-tech τεχνολογία και φορείς εκμετάλλευσης δορυφόρων είναι στόχοι από το 2011.
Μεταξύ των στοχευόμενων οργανώσεων, η Kaspersky παραθέτει ονόματα όπως Lig Nex1, DSME Tech, Fuji TV, Korea Telecom, Selectron Industrial Company, το Ιαπωνικό Κοινοβούλιο και το Ιαπωνο-Κινέζικο Economic Association.
Αυτό που είναι ενδιαφέρον για τη εκστρατεία Icefog είναι ότι οι εγκληματίες του κυβερνοχώρου φαίνεται να γνωρίζουν ακριβώς τι θέλουν από τα θύματά τους. Διεισδύουν στα συστήματα, αναζητούν τα στοιχεία που θέλουν να κλέψουν και μόλις γίνει αυτό, ο στόχος εγκαταλείπτεται.
Οι επιθέσεις ξεκίνησαν με phishing e-mails που περιείχαν συνημμένα αρχεία ή συνδέσμους σε κακόβουλες ιστοσελίδες. Τα συνημμένα αρχεία των emails ήταν κακόβουλα έγγραφα του Microsoft Word και Excel, τα οποία εκμεταλλεύονταν αρκετά γνωστά τρωτά σημεία, και προσπαθούσαν να τοποθετήσουν ένα κομμάτι του κακόβουλου λογισμικού πάνω στα στοχοθετημένα συστήματα.
Επιπλέον χρησιμοποιήθηκαν τρύπες της Java, κακόβουλα αρχεία του Hangul Word Processor και τα αρχεία HLP. Οι ερευνητές δεν έχουν εντοπίσει καμμία zero-day ευπάθεια σε όλη αυτή την ιστορία.
Μόλις το Icefog malware μολύνει έναν υπολογιστή, ξεκινά να αποστέλνει βασικές πληροφορίες του συστήματος για την διοίκηση και τον έλεγχο του servers.Η κερκόπορτα επιτρέπει στους επιτιθέμενους να εκτελέσουν τις εντολές και να κατεβάσουν τα πρόσθετα εργαλεία που χρειάζονται για να κλέψουν τις πληροφορίες που επιθυμούν.
Αξίζει να σημειωθεί ότι οι κυβερνοεγκληματίες επεξεργάζονται τα malware που στέλνουν ειδικά για κάθε θύμα. Η διαδικασία κλοπής δεδομένων δεν είναι αυτοματοποιημένη, όπως και σε πολλές άλλες APT επιθέσεις.
Στις περισσότερες περιπτώσεις οι στόχοι είναι τα ευαίσθητα έγγραφα και τα σχέδια της εταιρείας, τα διαπιστευτήρια των emails και οι κωδικούς πρόσβασης σε διάφορους πόρους. Έξι παραλλαγές του Icefog malware έχουν αποκαλυφθεί μέχρι σήμερα. Οι απειλές στοχεύουν τα Windows και Mac OS X μηχανήματα.
Ο ακριβής αριθμός των θυμάτων είναι δύσκολο να προσδιοριστεί. Ωστόσο, οι ερευνητές έχουν εντοπίσει πάνω από 350 θύματα Mac OS X και αρκετές δεκάδες θύματα των Windows. Παρά το γεγονός ότι τα περισσότερα θύματα βρίσκονται στην Ιαπωνία και τη Νότια Κορέα, μονυσμένα μηχανήματα έχουν εντοπιστεί στην Ταϊβάν, το Χονγκ Κονγκ, την Κίνα, τις ΗΠΑ, την Αυστραλία, τον Καναδά, την Ιταλία, την Αυστρία, τη Γερμανία, το Ηνωμένο Βασίλειο, τη Λευκορωσία, τη Μαλαισία και τη Σιγκαπούρη.
Η Kaspersky λέει ότι δεν υπάρχει συγκεκριμένη απόδειξη ότι ένα έθνος-κράτος είναι πίσω από την εκστρατεία. Επί του παρόντος, η επιθετική αυτή εκστρατεία είναι ακόμα ενεργή.
Μια πλήρης έκθεση σχετικά με τη Icefog είναι διαθέσιμη στην ιστοσελίδα της Kaspersky.
