Kaspersky Lab rileva una nuova tendenza: la nascita di piccoli gruppi di mercenari informatici disponibili ad assumersi la responsabilità degli attacchi
Il team di security research di Kaspersky Lab ha pubblicato una nuova ricerca relativa alla scoperta di “Icefog”, un piccolo ma potente gruppo di APT che si concentra su obiettivi presenti in Corea del Sud e Giappone, colpendo le catene di approvvigionamento di aziende occidentali. L’operazione è iniziata nel 2011 ed è aumentata per portata e dimensioni negli ultimi anni.
“In questi ultimi anni, abbiamo rilevato numerosi APT che colpivano praticamente tutte le tipologie di vittime in tutti i settori. In molti casi, i criminali hanno mantenuto un punto di appoggio nelle reti aziendali e governative per molti anni, sottraendo terabyte di informazioni sensibili”, ha dichiarato Costin Raiu Director, Global Research & Analysis Team. Il “mordi e fuggi”, caratteristica degli attacchi Icefog, dimostra una nuova tendenza emergente: piccoli gruppi di criminali informatici che sottraggono informazioni con una precisione chirurgica. L’attacco di solito dura pochi giorni o settimane e dopo aver colpito, non lascia tracce. Per il futuro, prevediamo un numero sempre maggiore di piccoli gruppi di cyber mercenari APT, specializzati in operazioni molto specifiche”.
Risultati principali:
– In base ai profili di target noti, i criminali sembrano avere un particolare interesse per i seguenti settori: militare, navale e operazioni marittime, computer e sviluppo software, società di ricerca, operatori di telecomunicazioni, operatori satellitari, mass media e televisione.
– La ricerca indica che gli aggressori erano interessati ad aziende con appalti nel settore della difesa, quali Lig Nex1 e Selectron Industrial Company, imprese di costruzione navale come DSME Tech, Hanjin Heavy Industries, operatori delle telecomunicazioni come Korea Telecom, aziende media come Fuji TV e il Japan-China Economic Association.
– I criminali hanno acquisito documenti sensibili, piani aziendali, le credenziali degli account e-mail e le password per accedere alle varie risorse interne della vittima.
– Durante l’operazione, i criminali hanno utilizzato il set backdoord “Icefog” (conosciuto anche come “Fucobha”). Kaspersky Lab ha identificato la versione di “Icefog” per entrambi i sistemi operativi Microsoft Windows e Mac OS X.
– Mentre in molte altre campagne APT le macchine delle vittime rimanevano infettate per mesi o alcuni anni e gli attaccanti continuavano a sottrarre dati, le vittime di Icefog vengono selezionate dagli operatori una per una e solo informazioni specifiche e mirate vengono sottratte. Una volta che hanno ottenuto l’informazione desiderata, i criminali spariscono dalla scena.
– In molti casi, gli operatori di Icefog sembrano sapere molto bene ciò di cui hanno bisogno dalle vittime. Cercano nomi di file specifici, che vengono rapidamente identificati e trasferiti al server C&C.
Attacco e funzionalità
I ricercatori di Kaspersky hanno svolto 13 operazioni sinkhole su oltre 70 dei domini utilizzati dai criminali. Questo ha fornito una statistica sul numero di vittime nel mondo. Inoltre, i server di comando e controllo Icegfog mantengono i log criptati delle vittime, insieme alle varie operazioni eseguite su di essi dagli operatori. Questi log possono aiutare ad identificare i bersagli degli attacchi e, in alcuni casi, le vittime. Oltre al Giappone e alla Corea del Sud, sono state osservate molte connessioni sinkhole in altri paesi, compresi Taiwan, Hong Kong, Cina, USA, Australia, Canada, Regno Unito, Italia, Germania, Austria, Singapore, Bielorussia e Malesia. In totale, Kaspersky Lab ha osservato più di 4.000 indirizzi IP unici infettati e diverse centinaia di vittime (poche decine di vittime Windows e più di 350 vittime Mac OS X).
In base alla lista di indirizzi IP utilizzati per monitorare e controllare le infrastrutture, gli esperti di Kaspersky Lab hanno rilevato che alcuni degli attori dietro questa operazione hanno sede in almeno tre paesi: Cina, Corea del Sud e Giappone.