„Az elmúlt néhány évben láthattunk jó pár igen veszélyes APT támadást, amely rengeteg ágazatot érintett és sok áldozattal is járt. A legtöbb esetben a támadók megvetik a lábukat a vállalati és kormányzati hálózatokban és rengeteg terabájtnyi bizalmas információhoz férnek hozzá. Azonban a „megszerzed és lelépsz" jellegű támadások egy új trendet mutatnak, ahogyan az Icefog csoport is működik: a kisebb „hit and run" csoportok minden információt szinte sebészi pontossággal szereznek meg igen rövid idő alatt. A roham általában pár napig vagy egy hétig tart, míg meg nem szerzik a célzott információt, amelyet kerestek, majd megtisztítják a területet és gyorsan elhagyják azt. Azt gondolom, hogy a jövőben sok ilyen kis koncentrált APT támadásra számíthatunk és növekedni is fog ezen csoportok száma is, akik egyfajta kiber-zsoldos csoportként fognak működni." - mondta Costin Raiu, a Kaspersky Lab kutató és analízis csoportjának igazgatója.
Főbb kutatási eredmények
- A célzott profilok alapján a támadókat a következő célpontok és információk érdekelték: katonai és tengeri műveletek, számítógép- és szoftverfejlesztés, piackutató vállalatok, távközlési és műhold szolgáltatók, médiumok és televízió társaságok.
- A kutatások azt mutatják, hogy a támadók érdekeltek voltak védelmi ipari kivitelezők, (Lig Nex1 és Selectron Industrial Company), hajógyártó cégek (DSME Tech), telekommunikációs szolgáltatók (Korea Telecom), továbbá média vállalatok (Fuji TV és a Japán-Kína Közgazdasági Társaság) szervezeteiben.
- A támadók irányítóközpontok adatait, minősített dokumentumokat, valamint vállalati terveket, e-email fiókok adatait és jelszavak hozzáférhetőségeit szerezték meg különböző forrásokból.
- A műveletek során a támadók az „Icefog" (vagy más néven „Fucobha") nevű backdoor setet használták. A Kaspersky Lab az Icefog különböző változatait azonosította Microsoft Windows és Mac OS X rendszerekben.
- Míg a legtöbb APT kampány átlagosan több hónapig vagy akár évekig is eltart és folyamatosan gyűjti az adatokat, addig az Icefog operátorok egyenként feldolgozzák az áldozatok adatait, majd miután beszerezték a számukra fontos információkat eltűnnek.
- A legtöbb esetben az Icefog operátorok nagyon jól tudják, hogy mire van szükségük az áldozatoktól, amelynek metódusa: megkeresik a gondosan kiválasztott fájlneveket, amelyeket gyorsan azonosítanak és továbbítanak a C&C (command-and-control) szerverre.
Támadás és funkcionalitás
A Kaspersky Lab kutatói sinkhole technikával követtek nyomon 13-at a támadók által használt több mint 70 domain közül. Ebből tudták megállapítani az áldozatok számát. Az Icefog C&C szerverek titkosított naplót vezetnek az áldozatokról, valamint az operátorok által rajtuk végrehajtott műveletekről. Ezek a naplók néha segítenek meghatározni a támadások célpontjait és bizonyos esetekben az áldozatokat. Japán és Dél-Korea mellett számos más országban is több sinkhole kapcsolatot azonosítottak, így például Tajvan, Hong Kong, Kína, az USA, Ausztrália, Kanada, az Egyesült Királyság, Olaszország, Németország, Ausztria, Szingapúr, Fehéroroszország, valamint Malajzia területén. A Kaspersky Lab kutatói összesen 4000 egyedi fertőzött IP címet és több száz áldozatot azonosítottak. A Kaspersky Lab kutatói az IP címek listájának alapján feltételezik, hogy a műveletek mögött legalább három ország áll: Kína, Dél-Korea és Japán.