piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Kaspersky Lab przestrzega przed nową kampanią cyberszpiegowską Icefog

    Zobacz również

    Nowy trend: pojawienie się małych grup cyber-najemników, które można wynająć do przeprowadzenia błyskawicznych operacji o chirurgicznej precyzji. Zespół badaczy z Kaspersky Lab informuje o wykryciu niewielkiej ale aktywnej grupy ataków o nazwie „Icefog”, skoncentrowanej na celach zlokalizowanych w Korei Południowej i Japonii, atakującej łańcuch dostaw dla firm zachodnich. Operacja rozpoczęła się w 2011 r., zwiększając swoją skalę i zasięg w ciągu ostatnich kilku lat.

    - Reklama -

    Przez ostatnie kilka lat odnotowaliśmy wiele zaawansowanych, długotrwałych ataków ukierunkowanych (tzw. APT) na niemal wszystkie rodzaje ofiar i sektorów. W większości przypadków osoby atakujące od wielu lat posiadają punkt zaczepienia w sieciach korporacyjnych i rządowych, wyprowadzając stamtąd terabajty poufnych informacji – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab. – Błyskawiczny charakter ataków grupy Icefog wskazuje na wyłaniający się nowy trend: niewielkie, działające w błyskawiczny sposób gangi, które z chirurgiczną precyzją przechwytują informacje. Atak zwykle trwa kilka dni lub tygodni, a gdy cyberprzestępcy zdobędą to, czego szukają, zacierają za sobą ślady i znikają. W przyszłości spodziewamy się wzrostu liczby niewielkich grup przeprowadzających ataki APT na zlecenie, specjalizujących się w błyskawicznych operacjach – swego rodzaju ‘cyber-najemników’ współczesnego świata.

    Główne wyniki badania Kaspersky Lab:

    • Na podstawie profili znanych celów wydaje się, że osoby atakujące interesują się następującymi sektorami: wojskowym, stoczniowym oraz morskim, komputerowym, rozwoju oprogramowania, badań, operatorów telekomunikacyjnych i satelitarnych, mass mediów oraz telewizyjnym.
    • Z badania wynika, że osoby atakujące były zainteresowane atakami na dostawców z branży obronnej: Lig Nex1 oraz Selectron Industrial Company; firmy z branży stoczniowej: DSME Tech, Hanjin Heavy Industries; operatorów telekomunikacyjnych: Korea Telecom; firmy z branży mediów: Fuji TV oraz the Japan-China Economic Association.   
    • Osoby atakujące przechwytują poufne dokumenty i plany korporacyjne, dane uwierzytelniające dostęp do kont e-mail, jak również hasła dostępu do różnych zasobów w obrębie i poza siecią ofiary.
    • Podczas operacji osoby atakujące wykorzystują zestaw trojanów „Icefog” (znany również jako „Fucobha”). Kaspersky Lab zidentyfikował wersje Icefoga zarówno dla systemu Microsoft Windows, jak i Apple OS X.
    • O ile w przypadku większości kampanii APT ofiary pozostają zainfekowane przez miesiące czy nawet lata, a w tym czasie osoby atakujące nieustannie wyprowadzają dane, operatorzy Icefoga wykorzystują swoje ofiary kolejno – lokalizując i kopiując jedynie określone informacje, na które polują, a gdy je zdobędą, znikają.
    • W większości przypadków operatorzy Icefoga wydają się dokładnie wiedzieć, czego chcą od ofiar. Szukają określonych nazw plików, które są szybko identyfikowane i przesyłane do serwerów kontrolowanych przez cyberprzestępców.

    Atak i funkcjonalność
    Analitykom z Kaspersky Lab udało się przejąć kontrolę nad 13 z ponad 70 domen wykorzystywanych przez osoby atakujące. Dzięki temu uzyskali dane dotyczące liczby ofiar na całym świecie. Ponadto, na serwerach kontroli Icefoga przechowywane były zaszyfrowane logi ofiar wraz z różnymi operacjami przeprowadzanymi na nich przez operatorów. Logi te mogą niekiedy pomóc w identyfikacji celów ataków, a w niektórych przypadkach – ofiar. Oprócz Japonii i Korei Południowej zaobserwowano również wiele połączeń w kilku innych krajach, w tym w Tajwanie, Hong Kongu, Chinach, Stanach Zjednoczonych, Australii, Kanadzie, Wielkiej Brytanii, we Włoszech, w Niemczech, Austrii, Singapurze, na Białorusi i w Malezji. Łącznie eksperci z Kaspersky Lab zaobserwowali ponad 4 000 unikatowych zainfekowanych adresów IP i kilkaset ofiar (kilkadziesiąt ofiar wykorzystujących system Windows i ponad 350 ofiar wykorzystujących system Apple OS X).

    Na podstawie listy adresów IP wykorzystywanej do monitorowania i kontrolowania infrastruktury eksperci z Kaspersky Lab przyjmują, że niektóre z osób stojących za tą operacją są zlokalizowane w co najmniej trzech państwach: Chinach, Korei Południowej i Japonii.

    Produkty firmy Kaspersky Lab wykrywają i eliminują wszystkie warianty tego szkodliwego oprogramowania.

    ŹródłoKaspersky Lab
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    OPPO Find X8 Pro debiutuje w Europie, a wraz z nim ColorOS 15

    OPPO oficjalnie zaprezentowało najnowsze modele z flagowej serii Find – OPPO Find X8 oraz OPPO Find X8 Pro. Model...