eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetKaspersky Lab: "Icefog" atakuje łańcuchy dostaw

Kaspersky Lab: "Icefog" atakuje łańcuchy dostaw

2013-09-26 12:50

Kaspersky Lab: "Icefog" atakuje łańcuchy dostaw

Kampania cyberszpiegowska "Icefog" © fot. mat. prasowe

Zespół badaczy z Kaspersky Lab informuje o wykryciu niewielkiej ale aktywnej grupy ataków o nazwie "Icefog", skoncentrowanej na celach zlokalizowanych w Korei Południowej i Japonii, atakującej łańcuch dostaw dla firm zachodnich. Operacja rozpoczęła się w 2011 r., zwiększając swoją skalę i zasięg w ciągu ostatnich kilkunastu miesięcy.

Przeczytaj także: Grupa RomCom znów atakuje Ukrainę i Polskę

"Przez ostatnie kilka lat odnotowaliśmy wiele zaawansowanych, długotrwałych ataków ukierunkowanych (tzw. APT) na niemal wszystkie rodzaje ofiar i sektorów. W większości przypadków osoby atakujące od wielu lat posiadają punkt zaczepienia w sieciach korporacyjnych i rządowych, wyprowadzając stamtąd terabajty poufnych informacji" - powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab. "Błyskawiczny charakter ataków grupy Icefog wskazuje na wyłaniający się nowy trend: niewielkie, działające w błyskawiczny sposób gangi, które z chirurgiczną precyzją przechwytują informacje. Atak zwykle trwa kilka dni lub tygodni, a gdy cyberprzestępcy zdobędą to, czego szukają, zacierają za sobą ślady i znikają. W przyszłości spodziewamy się wzrostu liczby niewielkich grup przeprowadzających ataki APT na zlecenie, specjalizujących się w błyskawicznych operacjach - swego rodzaju 'cyber-najemników' współczesnego świata".

Główne wyniki badania Kaspersky Lab:
  • Na podstawie profili znanych celów wydaje się, że osoby atakujące interesują się następującymi sektorami: wojskowym, stoczniowym oraz morskim, komputerowym, rozwoju oprogramowania, badań, operatorów telekomunikacyjnych i satelitarnych, mass mediów oraz telewizyjnym.
  • Z badania wynika, że osoby atakujące były zainteresowane atakami na dostawców z branży obronnej: Lig Nex1 oraz Selectron Industrial Company; firmy z branży stoczniowej: DSME Tech, Hanjin Heavy Industries; operatorów telekomunikacyjnych: Korea Telecom; firmy z branży mediów: Fuji TV oraz the Japan-China Economic Association.
  • Osoby atakujące przechwytują poufne dokumenty i plany korporacyjne, dane uwierzytelniające dostęp do kont e-mail, jak również hasła dostępu do różnych zasobów w obrębie i poza siecią ofiary.
  • Podczas operacji osoby atakujące wykorzystują zestaw trojanów "Icefog" (znany również jako "Fucobha"). Kaspersky Lab zidentyfikował wersje Icefoga zarówno dla systemu Microsoft Windows, jak i Apple OS X.
  • O ile w przypadku większości kampanii APT ofiary pozostają zainfekowane przez miesiące czy nawet lata, a w tym czasie osoby atakujące nieustannie wyprowadzają dane, operatorzy Icefoga wykorzystują swoje ofiary kolejno - lokalizując i kopiując jedynie określone informacje, na które polują, a gdy je zdobędą, znikają.
  • W większości przypadków operatorzy Icefoga wydają się dokładnie wiedzieć, czego chcą od ofiar. Szukają określonych nazw plików, które są szybko identyfikowane i przesyłane do serwerów kontrolowanych przez cyberprzestępców.

fot. mat. prasowe

Kampania cyberszpiegowska "Icefog"

Zespół badaczy z Kaspersky Lab informuje o wykryciu niewielkiej ale aktywnej grupy ataków o nazwie "Icefog", skoncentrowanej na celach zlokalizowanych w Korei Południowej i Japonii, atakującej łańcuch dostaw dla firm zachodnich


Atak i funkcjonalność

Analitykom z Kaspersky Lab udało się przejąć kontrolę nad 13 z ponad 70 domen wykorzystywanych przez osoby atakujące. Dzięki temu uzyskali dane dotyczące liczby ofiar na całym świecie. Ponadto, na serwerach kontroli Icefoga przechowywane były zaszyfrowane logi ofiar wraz z różnymi operacjami przeprowadzanymi na nich przez operatorów. Logi te mogą niekiedy pomóc w identyfikacji celów ataków, a w niektórych przypadkach - ofiar. Oprócz Japonii i Korei Południowej zaobserwowano również wiele połączeń w kilku innych krajach, w tym w Tajwanie, Hong Kongu, Chinach, Stanach Zjednoczonych, Australii, Kanadzie, Wielkiej Brytanii, we Włoszech, w Niemczech, Austrii, Singapurze, na Białorusi i w Malezji. Łącznie eksperci z Kaspersky Lab zaobserwowali ponad 4 000 unikatowych zainfekowanych adresów IP i kilkaset ofiar (kilkadziesiąt ofiar wykorzystujących system Windows i ponad 350 ofiar wykorzystujących system Apple OS X).

Na podstawie listy adresów IP wykorzystywanej do monitorowania i kontrolowania infrastruktury eksperci z Kaspersky Lab przyjmują, że niektóre z osób stojących za tą operacją są zlokalizowane w co najmniej trzech państwach: Chinach, Korei Południowej i Japonii.

Produkty firmy Kaspersky Lab wykrywają i eliminują wszystkie warianty tego szkodliwego oprogramowania.

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: