giovedì 10 ottobre 2013

Icefog, la campagna di cyber spionaggio analizzata da Kaspersky Lab


Kaspersky Lab ha scoperto una nuova campagna APT volta a rubare i segreti dei governi e della catena di fornitura industriale, militare, dei media e aziende di tecnologia in Giappone e Sud Corea. Il team di security research di Kaspersky Lab ha pubblicato una nuova ricerca relativa alla scoperta di “Icefog”, un piccolo ma potente gruppo di APT che si concentra su obiettivi presenti in Corea del Sud e Giappone, colpendo le catene di approvvigionamento di aziende occidentali.

L’operazione è iniziata nel 2011 ed è aumentata per portata e dimensioni negli ultimi anni. “In questi ultimi anni, abbiamo rilevato numerosi APT che colpivano praticamente tutte le tipologie di vittime in tutti i settori. In molti casi, i criminali hanno mantenuto un punto di appoggio nelle reti aziendali e governative per molti anni, sottraendo terabyte di informazioni sensibili”, ha dichiarato Costin Raiu Director, Global Research & Analysis Team.

Tali obiettivi comprendono l'industria della difesa come Lig Nex1 e impresa industriale Selectron, imprese di costruzione navale DSME Tech, Hanjin Heavy Industries, operatore di telecomunicazione coreano e la società media come Fuji TV. Icefog stabilisce non solo una connessione backdoor all'infrastruttura di comando controllata dall'utente malintenzionato, ma anche una serie di strumenti che permettono ai criminali di rubare alcuni tipi di documenti e all'interno di una azienda infetta alla ricerca di altri computer da infettare e risorse aggiuntive da rubare.

Tuttavia, mentre le altre campagne APT mantengono una persistenza a lungo termine all'interno di reti infette, Icefog sembra fare esattamente il contrario. Gli aggressori, spiegano i ricercatori di Kaspersky Lab, hanno bisogno di sapere una cosa dalla vittima e una volta che ce l'hanno, il bersaglio è abbandonato. Sono anche probabilmente un piccolo gruppo simile a mercenari, usato per attaccare un gruppo particolare, rubare dati, e uscire in fretta.

Il "mordi e fuggi", caratteristica degli attacchi Icefog, dimostra una nuova tendenza emergente: piccoli gruppi di criminali informatici che sottraggono informazioni con una precisione chirurgica. L'attacco di solito dura pochi giorni o settimane e dopo aver colpito, non lascia tracce. Per il futuro, prevediamo un numero sempre maggiore di piccoli gruppi di cyber mercenari APT, specializzati in operazioni molto specifiche”.


Risultati principali:
• In  base ai profili di target noti, i criminali sembrano avere un particolare interesse per i seguenti settori: militare, navale e operazioni marittime, computer e sviluppo software, società di ricerca, operatori di telecomunicazioni, operatori satellitari, mass media e televisione.
• La ricerca indica che gli aggressori erano interessati ad aziende con appalti nel settore della difesa, quali  Lig Nex1 e Selectron Industrial Company, imprese di costruzione navale come DSME Tech, Hanjin Heavy Industries, operatori delle telecomunicazioni come Korea Telecom, aziende media come Fuji TV e il Japan-China Economic Association.

• I criminali hanno acquisito documenti sensibili, piani aziendali, le credenziali degli account e-mail e le password per accedere alle varie risorse interne della vittima.
• Durante l’operazione, i criminali hanno utilizzato il set backdoord “Icefog” (conosciuto anche come “Fucobha”). Kaspersky Lab ha identificato la versione di “Icefog” per entrambi i sistemi operativi Microsoft Windows e Mac OS X.

• Mentre in molte altre campagne APT le macchine delle vittime rimanevano infettate per mesi o alcuni anni e gli attaccanti continuavano a sottrarre dati, le vittime di Icefog vengono selezionate dagli operatori una per una e solo informazioni specifiche e mirate vengono sottratte. Una volta che hanno ottenuto l'informazione desiderata, i criminali spariscono dalla scena.
• In molti casi, gli operatori di Icefog sembrano sapere molto bene ciò di cui hanno bisogno dalle vittime. Cercano nomi di file specifici, che vengono rapidamente identificati e trasferiti al server C&C.

La campagna si basa anche su exploit  di vulnerabilità in Windows e Java per stabilire un punto d'appoggio su un endpoint. Bug per l'esecuzione di codice remoto in Windows (CVE-2012-0158 e CVE-2012-1856) distribuiti tramite Word dannoso o file di Excel sono i mezzi più comuni di iniziare l'attacco Icefog. Gli allegati infetti promettono qualsiasi cosa, da una immagine illegale di una donna di un documento scritto in giapponese dal titolo: "Poco entusiasmo per la riforma della sovranità regionale".

Gli utenti sono inviati anche link a siti compromessi di hosting Java exploit (CVE-2013-0422 e CVE-2012-1723). Distinte campagne di spear phishing sono stati avvistati con versioni precedenti di Winhelp file per infettare i bersagli. Winhelp è stata supportata nativamente fino a quando è stato rilasciato Windows Vista. "Molto probabilmente, la scelta di abuso Winhelp indica che gli aggressori hanno un'idea di quale versione dei sistemi operativi stanno attaccando", ha detto il rapporto di Kaspersky.


Attacco e funzionalità
I ricercatori di Kaspersky hanno svolto 13 operazioni sinkhole su oltre 70 dei domini utilizzati dai criminali.  Questo ha fornito una statistica sul numero di vittime nel mondo. Inoltre, i server di comando e controllo Icegfog mantengono i log criptati delle vittime, insieme alle varie operazioni eseguite su di essi dagli operatori. Questi log possono aiutare ad identificare i bersagli degli attacchi e, in alcuni casi, le vittime.

Oltre al Giappone e alla Corea del Sud, sono state osservate molte connessioni sinkhole in altri paesi, compresi Taiwan, Hong Kong, Cina, USA, Australia, Canada, Regno Unito, Italia, Germania, Austria, Singapore, Bielorussia e Malesia. In totale, Kaspersky Lab ha osservato più di 4.000 indirizzi IP unici infettati e diverse centinaia di vittime (poche decine di vittime Windows e più di 350 vittime Mac OS X).

In base alla lista di indirizzi IP utilizzati per monitorare e controllare le infrastrutture, gli esperti di Kaspersky Lab hanno rilevato che alcuni degli attori dietro questa operazione hanno sede in almeno tre paesi: Cina, Corea del Sud e Giappone. Ad oggi, la ricerca e l'analisi del Global Team di Kaspersky Lab ha osservato sei varianti di Icefog e sono stati individuati 13 domini utilizzati negli attacchi, catturate istantanee del malware utilizzato e l'interazione con i server di comando e controllo.

Una volta che un computer con Windows è compromessa, gli attaccanti analizzano singolarmente le informazioni di sistema e dei file memorizzati sulla macchina, gli strumenti di movimento backdoor sono inviati alla macchina, tra cui password e strumenti di hash-dumping per salvare le password di Internet Explorer e Outlook. Sono stati osservati anche versioni Icefog per Mac OS X, ma sembra che la backdoor OS X è solo una versione beta del malware.

La versione più recente, Icefog-NG, non comunica con un server di comando centrale e invece di utilizzare un server web, il suo comando e controllo è un applicazione desktop di Windows che funziona come server standalone TCP in ascolto sulla porta 5600. I prodotti Kaspersky Lab sono in grado di rilevare ed eliminare tutte le varianti di questo malware. Per leggere il rapporto completo www.securelist.com/en/downloads/vlpdfs/icefog.pdf. E’ disponibile un documento di FAQ: http://tinyurl.com/The-Icefog-APT-Frequently-Ask

Nessun commento:

Posta un commento