El equipo de investigación de seguridad de
Kaspersky Lab publicó el 26 de septiembre un nuevo trabajo de investigación sobre el
descubrimiento de "Icefog" [
PDF], un pequeño pero muy activo grupo de
APT (Amenazas Persistentes Avanzadas)
centrado en objetivos de Corea del Sur y Japón, afectando a la
producción de empresas occidentales. La operación se inició en 2011 y el
aumentó en tamaño y alcance en los últimos años.
"Durante los últimos años hemos visto gran un número de APTs que
atacaban cualquier tipo de víctima y sector. En la mayoría de los casos,
los atacantes mantienen una presencia en las redes corporativas y
gubernamentales durante años y extraen terabytes de información
confidencial", afirma Costin Raiu, Director, Global Research & Analysis Team de Kaspersky Lab.
"La
naturaleza de los ataques Icefog demuestran una nueva tendencia: han
surgido pequeñas bandas que actúan persiguiendo información con
intervenciones muy precisas. El ataque suele durar unos pocos días o
semanas, y después de haber obtenido lo que buscaban, hacen limpieza y
se marchan. En el futuro, creemos que aumentará el número de grupos
pequeños, enfocados en APT de alquiler especializados en operaciones de
'hit-and-run', una especie de 'cibermercenarios'.
Principales conclusiones
- Según los perfiles de los objetivos descubiertos, los
ciberdelincuentes parecen tener un interés especial en los siguientes
sectores: militar, naval y operaciones marítimas, equipos y desarrollo
de software, empresas de investigación, operadores de
telecomunicaciones, los operadores de satélites, medios de comunicación y
la televisión.
- Algunas de estas empresas son Lig Nex1 y Selectron Industrial
Company del sector defensa; construcción naval como DSME Tech, Hanjin
Heavy Industries; operadores de telecomunicaciones como Korea Telecom; y
medios de comunicación como Fuji TV y la Japan-China Economic
Association.
- Los atacantes secuestran documentos sensibles, planes de la
compañía, credenciales de cuentas de correos electrónicos y contraseñas
de acceso a diferentes recursos dentro y fuera de la red de la víctima.
- Durante la operación, los atacantes han utilizado un conjunto de
“Icefog” backddor (también conocido como “Fucobha”). Kaspersky Lab
identificó versiones de Icefog tanto para Microsoft Windows como para
Mac OS X.
- En la mayoría de las campañas de APT, las víctimas permanecen
infectadas durante meses o incluso años, y los atacantes extraen
continuamente datos. Los operadores Icefog están procesando las víctimas
una por una – localizan y copian sólo información específica. Una vez
que se ha obtenido la información requerida, se van.
- En casi todos los casos, los operadores Icefog parecen saber muy
bien lo que necesitan de las víctimas. Buscan nombres de archivo
específicos, que se identifican con rapidez, y se transfieren a la
C&C.
El ataque y funcionalidad
Los analistas Kaspersky han
"sinkholizado" 13 de los más de 70
dominios utilizados por los atacantes. Esto ha aportado datos concretos
sobre el número de víctimas existentes en todo el mundo. Además, los
servidores de comando y control
Icefog mantienen registros cifrados de
las víctimas, junto con las diversas operaciones que se realizan sobre
ellos por los operadores. Estos registros a veces pueden ayudar a
identificar los objetivos de los ataques y, en algunos casos, a las
víctimas. Además de Japón y Corea del Sur, se observaron muchas
conexiones del sinkhole con otros países, incluyendo Taiwán, Hong Kong,
China, EE.UU., Australia, Canadá, Reino Unido, Italia, Alemania,
Austria, Singapur, Bielorrusia y Malasia. En total, Kaspersky Lab
observó más de 4.000 IPs únicas infectadas y varios cientos de víctimas
(unas pocas docenas de Windows y más de 350 víctimas de Mac OS X).
Basado en la lista de direcciones IP utilizadas para monitorizar y
controlar la infraestructura, los expertos de Kaspersky Lab asumen que
algunos de los actores de esta operación están centrados en al menos
tres países: China, Corea del Sur y Japón.