Il team di security research di Kaspersky Lab ha pubblicato una nuova ricerca relativa alla scoperta di “Icefog”, un piccolo ma potente gruppo di Apt che si concentra su obiettivi presenti in Corea del Sud e Giappone, colpendo le catene di approvvigionamento di aziende occidentali. L’operazione è iniziata nel 2011 ed è aumentata per portata e dimensioni negli ultimi anni.
“In questi ultimi anni, abbiamo rilevato numerosi Apt che colpivano praticamente tutte le tipologie di vittime in tutti i settori. In molti casi, i criminali hanno mantenuto un punto di appoggio nelle reti aziendali e governative per molti anni, sottraendo terabyte di informazioni sensibili – ha dichiarato Costin Raiu Director, Global Research & Analysis Team – Il “mordi e fuggi”, caratteristica degli attacchi Icefog, dimostra una nuova tendenza emergente: piccoli gruppi di criminali informatici che sottraggono informazioni con una precisione chirurgica. L’attacco di solito dura pochi giorni o settimane e dopo aver colpito, non lascia tracce. Per il futuro, prevediamo un numero sempre maggiore di piccoli gruppi di cyber mercenari Apt, specializzati in operazioni molto specifiche”.
In base ai profili di target noti, i criminali sembrano avere un particolare interesse per i seguenti settori: militare, navale e operazioni marittime, computer e sviluppo software, società di ricerca, operatori di telecomunicazioni, operatori satellitari, mass media e televisione. Hanno inoltre acquisito documenti sensibili, piani aziendali, le credenziali degli account e-mail e le password per accedere alle varie risorse interne della vittima.
La ricerca indica quali obiettivi aziende con appalti nel settore della Difesa, come Lig Nex1 e Selectron Industrial Company, imprese di costruzione navale come DSME Tech, Hanjin Heavy Industries, operatori delle telecomunicazioni come Korea Telecom, aziende media come Fuji TV e il Japan-China Economic Association.
Durante l’operazione, i criminali hanno utilizzato il set backdoord “Icefog” (conosciuto anche come “Fucobha”). Kaspersky Lab ha identificato la versione di “Icefog” per entrambi i sistemi operativi Microsoft Windows e Mac OS X.
Mentre in molte altre campagne Apt le macchine delle vittime rimanevano infettate per mesi o alcuni anni e gli attaccanti continuavano a sottrarre dati, le vittime di Icefog vengono selezionate dagli operatori una per una e solo informazioni specifiche e mirate vengono sottratte.
I ricercatori di Kaspersky hanno svolto 13 operazioni sinkhole su oltre 70 dei domini utilizzati dai criminali. Questo ha fornito una statistica sul numero di vittime nel mondo. Inoltre, i server di comando e controllo Icegfog mantengono i log criptati delle vittime, insieme alle varie operazioni eseguite su di essi dagli operatori. Questi log possono aiutare ad identificare i bersagli degli attacchi e, in alcuni casi, le vittime. Oltre al Giappone e alla Corea del Sud, sono state osservate molte connessioni sinkhole in altri paesi, compresi Taiwan, Hong Kong, Cina, USA, Australia, Canada, Regno Unito, Italia, Germania, Austria, Singapore, Bielorussia e Malesia. In totale, Kaspersky Lab ha osservato più di 4 mila indirizzi IP unici infettati e diverse centinaia di vittime (poche decine Windows e più di 350 vittime Mac OS X).
