Kaspersky Lab descobre “Icefog”: nova campanha de espionagem
virtual concentrada em ataques a alvos japoneses
A aparição de pequenos grupos de criminosos virtuais contratados
para executar operações relâmpago superprecisas é nova tendência do cibercrime
A equipe
de pesquisa
em segurança da Kaspersky Lab acaba
de descobrir o “Icefog”, um pequeno, mas dinâmico grupo de ameaças persistentes
avançadas (APTs) que visa alvos na Coreia do Sul e no Japão, atingindo a cadeia
de fornecedores de empresas ocidentais. A operação teve início em 2011 e, nos
últimos anos, cresceu em tamanho e escopo.
“Nos últimos anos,
observamos diversas APTs atacando quase todos os tipos de vítimas e setores. Na
maioria dos casos, os atacantes ficam estabelecidos em redes corporativas e
governamentais por anos, extraindo vários terabytes de informações sigilosas”,
informou Costin Raiu, diretor da Equipe de Pesquisa e Análise Global. “A
natureza ‘relâmpago’ dos ataques do Icefog demonstra o surgimento de uma nova
tendência: grupos menores que atacam e fogem, e que buscam por informações com
precisão cirúrgica. Normalmente, o ataque dura poucos dias ou semanas e, depois
de obter o que procuram, os invasores fazem a limpeza e batem em retirada. No
futuro, prevemos que o número de pequenos grupos focados em ‘APTs contratadas’
deve aumentar, especializando-se em operações relâmpago.”
Principais descobertas:
-
Com base nos perfis dos alvos conhecidos, parece que os atacantes estão
interessados nos seguintes setores: militar, construção naval e operações
marítimas, computadores e desenvolvimento de software, empresas de pesquisa,
operadoras de telecomunicações, operadoras de satélites, mídia em massa e
televisão.
-
A pesquisa indica que os invasores tinham interesse em fornecedores do
setor de defesa, como Lig Nex1 e Selectron Industrial Company, empresas de
construção naval, como DSME Tech e Hanjin Heavy Industries, operadoras de
telecomunicações, como a Korea Telecom, empresas de mídia, como Fuji TV e a
Japan-China Economic Association (Associação Econômica Japão-China).
-
Os atacantes sequestram documentos sigilosos, planos das empresas,
credenciais de contas de email e senhas para acessar diversos recursos dentro e
fora da rede da vítima.
-
Durante a operação, é usado o conjunto de backdoor “Icefog” (também
conhecido como “Fucobha”). A Kaspersky Lab identificou versões do Icefog para
Microsoft Windows e Mac OS X.
-
Enquanto na maioria das outras campanhas de APT, as vítimas permanecem
infectadas por meses ou até mesmo anos e os invasores extraem dados
continuamente, os operadores do Icefog trabalham com as vítimas uma a uma,
localizando e copiando apenas informações segmentadas específicas. Quando as
informações desejadas são obtidas, eles partem.
-
Na maioria dos casos, os operadores do Icefog parecem saber muito bem o que
querem conseguir das vítimas. Eles procuram nomes de arquivos específicos, que
são rapidamente identificados e transferidos para seu servidor de comando e
controle (C&C).
O ataque e a
funcionalidade
Os pesquisadores
da Kaspersky isolaram 13 dos mais de 70 domínios usados pelos invasores. Assim,
conseguiram estatísticas sobre o número de vítimas em todo o mundo. Além disso,
os servidores de comando e controle do Icefog mantêm logs criptografados sobre as
vítimas, juntamente com as várias operações executadas pelos operadores. Às
vezes, esses logs podem ajudar a identificar os alvos dos ataques e, em alguns
casos, as vítimas. Além do Japão e da Coreia do Sul, foram observadas várias
conexões de sinkholes em diversos outros países, incluindo Taiwan, Hong Kong,
China, EUA, Austrália, Canadá, Reino Unido, Itália, Alemanha, Áustria,
Cingapura, Bielorrúsia e Malásia. No total, a Kaspersky Lab observou mais de
quatro mil IPs exclusivos infectados e várias centenas de
vítimas (algumas dezenas de Windows e mais de 350 Mac OS X).
Com base na lista
de IPs usados para monitorar e controlar a infraestrutura, os especialistas da
Kaspersky Lab presumem que alguns dos protagonistas das ameaças por trás dessa
operação estão sediados em pelo menos três países: China, Coreia do Sul e Japão.
Os produtos da
Kaspersky Lab detectam e eliminam todas as variações desse malware.
Para ler o
relatório completo com uma descrição detalhada dos backdoors, outras
ferramentas maliciosas, estatísticas e indicadores do comprometimento
envolvido, consulte a Securelist.
Também estão disponíveis FAQs
completas sobre o Icefog.