A equipe de pesquisa em segurança da Kaspersky Lab acaba de descobrir o Icefog, um pequeno, mas dinâmico grupo de ameaças persistentes avançadas (APTs) que visa alvos na Coreia do Sul e no Japão, atingindo a cadeia de fornecedores de empresas ocidentais. A operação teve início em 2011 e, nos últimos anos, cresceu em tamanho e escopo. Nos últimos anos, observamos diversas APTs atacando quase todos os tipos de vítimas e setores. Na maioria dos casos, os atacantes ficam estabelecidos em redes corporativas e governamentais por anos, extraindo vários terabytes de informações sigilosas, informou Costin Raiu, diretor da Equipe de Pesquisa e Análise Global.
A natureza relâmpago dos ataques do Icefog demonstra o surgimento de uma nova tendência: grupos menores que atacam e fogem, e que buscam por informações com precisão cirúrgica. Normalmente, o ataque dura poucos dias ou semanas e, depois de obter o que procuram, os invasores fazem a limpeza e batem em retirada. No futuro, prevemos que o número de pequenos grupos focados em APTs contratadas deve aumentar, especializando-se em operações relâmpago.
Principais descobertas:
– Com base nos perfis dos alvos conhecidos, parece que os atacantes estão interessados nos seguintes setores: militar, construção naval e operações marítimas, computadores e desenvolvimento de software, empresas de pesquisa, operadoras de telecomunicações, operadoras de satélites, mídia em massa e televisão.
– A pesquisa indica que os invasores tinham interesse em fornecedores do setor de defesa, como Lig Nex1 e Selectron Industrial Company, empresas de construção naval, como DSME Tech e Hanjin Heavy Industries, operadoras de telecomunicações, como a Korea Telecom, empresas de mídia, como Fuji TV e a Japan-China Economic Association (Associação Econômica Japão-China).
– Os atacantes sequestram documentos sigilosos, planos das empresas, credenciais de contas de email e senhas para acessar diversos recursos dentro e fora da rede da vítima.
– Durante a operação, é usado o conjunto de backdoor ?Icefog? (também conhecido como ?Fucobha?). A Kaspersky Lab identificou versões do Icefog para Microsoft Windows e Mac OS X.
– Enquanto na maioria das outras campanhas de APT, as vítimas permanecem infectadas por meses ou até mesmo anos e os invasores extraem dados continuamente, os operadores do Icefog trabalham com as vítimas uma a uma, localizando e copiando apenas informações segmentadas específicas. Quando as informações desejadas são obtidas, eles partem.
– Na maioria dos casos, os operadores do Icefog parecem saber muito bem o que querem conseguir das vítimas. Eles procuram nomes de arquivos específicos, que são rapidamente identificados e transferidos para seu servidor de comando e controle (C&C).
O ataque e a funcionalidade
Os pesquisadores da Kaspersky isolaram 13 dos mais de 70 domínios usados pelos invasores. Assim, conseguiram estatísticas sobre o número de vítimas em todo o mundo. Além disso, os servidores de comando e controle do Icefog mantêm logs criptografados sobre as vítimas, juntamente com as várias operações executadas pelos operadores. Às vezes, esses logs podem ajudar a identificar os alvos dos ataques e, em alguns casos, as vítimas. Além do Japão e da Coreia do Sul, foram observadas várias conexões de sinkholes em diversos outros países, incluindo Taiwan, Hong Kong, China, EUA, Austrália, Canadá, Reino Unido, Itália, Alemanha, Áustria, Cingapura, Bielorrúsia e Malásia. No total, a Kaspersky Lab observou mais de quatro mil IPs exclusivos infectados e várias centenas de vítimas (algumas dezenas de Windows e mais de 350 Mac OS X).
Com base na lista de IPs usados para monitorar e controlar a infraestrutura, os especialistas da Kaspersky Lab presumem que alguns dos protagonistas das ameaças por trás dessa operação estão sediados em pelo menos três países: China, Coreia do Sul e Japão.
Os produtos da Kaspersky Lab detectam e eliminam todas as variações desse malware.
Para ler o relatório completo com uma descrição detalhada dos backdoors, outras ferramentas maliciosas, estatísticas e indicadores do comprometimento envolvido, consulte a Securelist. Também estão disponíveis FAQs completas sobre o Icefog.
Sobre a Kaspersky Lab
A Kaspersky Lab é o maior fornecedor de capital fechado do mundo de soluções de Proteção de Endpoint. A empresa está classificada entre as quatro maiores do mundo fornecedoras de soluções de segurança para usuários de endpoint*. Ao longo de sua história de mais de 16 anos a Kaspersky Lab manteve-se como uma companhia inovadora em segurança de TI e fornecedora de soluções de segurança digital eficazes para grandes empresas, PMEs e consumidores finais. A Kaspersky Lab, tem sua holding registrada no Reino Unido e atualmente opera em cerca de 200 países e territórios em todo o mundo, fornecendo proteção para mais de 300 milhões de usuários. Saiba mais em www.kaspersky.com.
* A empresa foi classificada em quarto lugar na classificação IDC Worldwide Endpoint Security Revenue by Vendedor, 2012. A avaliação foi publicada no relatório IDC “Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendedor Shares (IDC n º 242618, agosto de 2013). O relatório classificou os fornecedores de software de acordo com os ganhos provenientes da venda de soluções de segurança de terminais em 2012.