קספרסקי חושפת קמפיין ריגול חדש

מטרות הקמפיין שקיבל את השם ICEFOG הן מוסדות ממשלתיים, קבלנים צבאיים, מספנות, מפעילי תקשורת, מפעילי לווין, חברות טכנולוגיה ותעשייה וחברות תקשורת. מרבית המטרות נמצאות בדרום קוריאה ויפן

Icefog: קמפיין ריגול חדש המופעל על ידי שכירי חרב - securelist

צוות המחקר של מעבדת קספרסקי פירסם דוח מחקר חדש על חשיפת Icefog, קבוצה קטנה של האקרים המתמקדת במטרות בדרום קוריאה ויפן, ואשר פוגעת בשרשרת האספקה של חברות מערביות. פעילות הקבוצה החלה בשנת 2011 והתרחבה במהלך השנים האחרונות.

מטרות הקמפיין הן מוסדות ממשלתיים, קבלנים צבאיים, מספנות, מפעילי תקשורת, מפעילי לווין, חברות טכנולוגיה ותעשייה וחברות תקשורת. מרבית המטרות נמצאות בדרום קוריאה ויפן. יחד עם זאת, סביר להניח כי נפגעו גם מטרות בעולם המערבי, כולל בארה"ב ובאירופה. בין המטרות שנחשפו ניתן למצוא את Lig Nex1, Selectron Industrial Company, DSME Tech, Hanjin Heavy Industries, Fuji TV ואחרות.

בבסיסה, Icefog היא דלת אחורית, המשמשת ככלי ריגול אינטראקטיבי הנשלט ישירות על ידי התוקפים. הנתונים לא נשלחים החוצה בצורה אוטומטית, אלא הכלי מופעל באופן ידני על ידי התוקפים כדי לבצע פעולות באופן ישיר על המערכות הנגועות. במהלך התקפות Icefog, מספר כלים זדוניים אחרים ודלתות אחוריות מועלים למכונות של הקורבנות.

Icefog מופץ למטרות באמצעות דואר אלקטרוני הכולל קבצים מצורפים או קישורים לאתרי אינטרנט זדוניים (spear-phishing). התוקפים מטביעים את הקוד הזדוני בשימוש בכמה פגיעויות מוכרות (למשל CVE-2012-1856 וCVE-2012-0158) לתוך Microsoft Word ו-Excel . ברגע שקבצים אלה נפתחים על ידי היעד, נפתחת דלת אחורית המאפשרת השתלטות על המחשב.

בנוסף למסמכי Office, התוקפים משתמשים בדפים זדוניים עם פגיעויות ג'אווה (CVE-2013-0422 וCVE-2012-1723) וקבצים זדוניים מסוג HWP ו-HLP (מעבד תמלילים מסוג Hangul Word Processor הנמצא בשימוש בעיקר בדרום קוריאה בקרב ארגונים ממשלתיים).

"במהלך השנים האחרונות ראינו מספר איומים טורדניים שפוגעים בכמעט כל סוגי הקורבנות והמגזרים. בדרך כלל, התוקף שומר על דריסת רגל בארגון או ברשת הממשלתית במשך שנים, ומבריח החוצה טרה ביט רבים של נתונים רגישים", אמר קוסטין ראיו, מנהל מחקר בינלאומי וצוות ניתוח. "אופי פעילות ה'פגע וברח' של התקפות Icefog מציג מגמה חדשה: חבורות קטנות מייצרות פעילות פגע וברח המאתרות מידע בדיוק כירורגי. ההתקפה לרוב נמשכת מספר ימים או שבועות, ולאחר שהשיגו מה שחיפשו, התוקפים מבצעים ניקוי ועוזבים. בעתיד, אנו צופים צמיחה במספר הקבוצות הקטנות להשכרה המתמחות בפעילות פגע וברח; סוג של 'שכירי חרב מקוונים' המתאימים לעולם המודרני".

הגרסאות השונות של ההתקפה כוללות:

2011 Icefog "הישן" - שולח נתונים גנובים באמצעות דואר אלקטרוני; גרסה זו הייתה בשימוש נגד הפרלמנט היפני בשנת 2011.
סוג Icefog1 - "נורמלי" - שמקיים אינטראקציה עם C2-s.
סוג Icefog2 - מקיים אינטראקציה עם פרוקסי שמעביר פקודות מהתוקפים.
סוג Icefog3 - אין דוגמאות שלו, אבל בקספרסקי ראו סוג מסוים של C2 אשר משתמש בשיטת תקשורת שונה, ועל פי החשד יש קורבנות שיש להם תוכנה זדונית זו.
סוג Icefog4 - אותו מצב כמו "סוג 3".
Icefog-NG - מתקשר על ידי חיבור ישיר ליציאת TCP 5600 של C2.

בהתבסס על רשימת כתובות ה-IP שנעשה בהן שימוש כדי לשלוט על התשתית, מומחי מעבדת קספרסקי מניחים כי השחקנים מאחורי הפעילות פועלים משלוש מדינות – סין, דרום קוריאה ויפן.

מידע נוסף אודות ההתקפה ניתן למצוא בבלוג של קספרסקי securelist