A equipe de pesquisa em segurança da Kaspersky Lab acaba de descobrir o “Icefog”, um pequeno, mas dinâmico grupo de ameaças persistentes avançadas (APTs) que visa alvos na Coreia do Sul e no Japão, atingindo a cadeia de fornecedores de empresas ocidentais. A operação teve início em 2011 e, nos últimos anos, cresceu em tamanho e escopo.
“Nos últimos anos, observamos diversas APTs atacando quase todos os tipos de vítimas e setores. Na maioria dos casos, os atacantes ficam estabelecidos em redes corporativas e governamentais por anos, extraindo vários terabytes de informações sigilosas”, informou Costin Raiu, diretor da Equipe de Pesquisa e Análise Global. “A natureza ‘relâmpago’ dos ataques do Icefog demonstra o surgimento de uma nova tendência: grupos menores que atacam e fogem, e que buscam por informações com precisão cirúrgica. Normalmente, o ataque dura poucos dias ou semanas e, depois de obter o que procuram, os invasores fazem a limpeza e batem em retirada. No futuro, prevemos que o número de pequenos grupos focados em ‘APTs contratadas’ deve aumentar, especializando-se em operações relâmpago.”
Principais descobertas:
– Com base nos perfis dos alvos conhecidos, parece que os atacantes estão interessados nos seguintes setores: militar, construção naval e operações marítimas, computadores e desenvolvimento de software, empresas de pesquisa, operadoras de telecomunicações, operadoras de satélites, mídia em massa e televisão.
– A pesquisa indica que os invasores tinham interesse em fornecedores do setor de defesa, como Lig Nex1 e Selectron Industrial Company, empresas de construção naval, como DSME Tech e Hanjin Heavy Industries, operadoras de telecomunicações, como a Korea Telecom, empresas de mídia, como Fuji TV e a Japan-China Economic Association (Associação Econômica Japão-China).
– Os atacantes sequestram documentos sigilosos, planos das empresas, credenciais de contas de email e senhas para acessar diversos recursos dentro e fora da rede da vítima.
– Durante a operação, é usado o conjunto de backdoor “Icefog” (também conhecido como “Fucobha”). A Kaspersky Lab identificou versões do Icefog para Microsoft Windows e Mac OS X.
– Enquanto na maioria das outras campanhas de APT, as vítimas permanecem infectadas por meses ou até mesmo anos e os invasores extraem dados continuamente, os operadores do Icefog trabalham com as vítimas uma a uma, localizando e copiando apenas informações segmentadas específicas. Quando as informações desejadas são obtidas, eles partem.
-Na maioria dos casos, os operadores do Icefog parecem saber muito bem o que querem conseguir das vítimas. Eles procuram nomes de arquivos específicos, que são rapidamente identificados e transferidos para seu servidor de comando e controle (C&C).
O ataque e a funcionalidade
Os pesquisadores da Kaspersky isolaram 13 dos mais de 70 domínios usados pelos invasores. Assim, conseguiram estatísticas sobre o número de vítimas em todo o mundo. Além disso, os servidores de comando e controle do Icefog mantêm logs criptografados sobre as vítimas, juntamente com as várias operações executadas pelos operadores. Às vezes, esses logs podem ajudar a identificar os alvos dos ataques e, em alguns casos, as vítimas. Além do Japão e da Coreia do Sul, foram observadas várias conexões de sinkholes em diversos outros países, incluindo Taiwan, Hong Kong, China, EUA, Austrália, Canadá, Reino Unido, Itália, Alemanha, Áustria, Cingapura, Bielorrúsia e Malásia. No total, a Kaspersky Lab observou mais de quatro mil IPs exclusivos infectados e várias centenas de vítimas (algumas dezenas de Windows e mais de 350 Mac OS X).
Com base na lista de IPs usados para monitorar e controlar a infraestrutura, os especialistas da Kaspersky Lab presumem que alguns dos protagonistas das ameaças por trás dessa operação estão sediados em pelo menos três países: China, Coreia do Sul e Japão.
