Nieuwe trend: kleine groepen cyberhuurlingen voeren precisie hit-en-run acties uit
Utrecht, 26 september 2013 – Onderzoekers van Kaspersky Lab publiceren vandaag een nieuw onderzoeksrapport over “Icefog”. Deze kleine Advanced Persistent Threats-groep (APT-groep) richt zich op doelen in Zuid-Korea en Japan en treft de supply chain van westerse bedrijven. De operatie begon in 2011 en nam in de afgelopen jaren zowel in omvang als reikwijdte toe.
rn
rn“In de afgelopen jaren zagen we een aantal APT’s aanvallen uitvoeren op vrijwel alle soorten slachtoffers en sectoren. In de meeste gevallen blijven aanvallers jarenlang actief in de door hen aangevallen bedrijfs- en overheidsnetwerken en exfiltreren ze terabytes aan gevoelige informatie”, aldus Costin Raiu, Directeur van het Global Research & Analysis Team. “De ‘hit and run’ aard van de Icefog-aanvallen toont een nieuwe opkomende trend: kleinere bendes die snel toeslaan en even snel weer verdwijnen en die met een chirurgische precisie op zoek gaan naar specifieke informatie. De aanval duurt meestal een paar dagen of weken en als de gezochte informatie binnen is, elimineren de aanvallers hun sporen en vertrekken ze. We voorspellen voor de toekomst een toename van het aantal kleine, specifieke ’APT-te-huur-groeperingen’ die gespecialiseerd zijn in dergelijke hit-and-run operaties; een soort ‘cyberhuurlingen’ van de moderne tijd”.
rn
rnDe belangrijkste Icefog-bevindingen:
rn- De aanvallers hebben belangstelling, gebaseerd op de profielen van bekende doelwitten, voor de volgende sectoren: defensie, scheepsbouw en maritieme operaties, computer- en software-ontwikkeling, onderzoeksbedrijven, telecomaanbieders, satellietaanbieders, massamedia en televisie.
rn- De aanvallers waren geïnteresseerd in en richtten hun aanvallen op aannemers uit de defensie-industrie (zoals Lig Nex1 en Selectron Industrial Company), scheepsbouwbedrijven (DSME Tech en Hanjin Heavy Industries), telecomaanbieders (Korea Telecom), mediabedrijven (Fuji TV) en de Japan-China Economic Association.
rn- De aanvallers maken gevoelige documenten en ondernemingsplannen buit, evenals gegevens van e-mailaccounts en wachtwoorden die toegang bieden tot verschillende bronnen binnen en buiten het netwerk van de slachtoffers.
rn- De aanvallers maken gebruik van de “Icefog” backdoor set (ook bekend als “Fucobha”). Kaspersky Lab identificeerde Icefog-versies voor zowel Microsoft Windows als Mac OS X.
rn- De aanvallers handelen de slachtoffers een voor een af waarbij ze alleen specifieke, doelgerichte informatie lokaliseren en kopiëren. Zodra de gewenste informatie is verkregen, verdwijnen ze. Dit in tegenstelling tot de meeste andere APT-campagnes waarbij slachtoffers maanden- of zelfs jarenlang geïnfecteerd blijven en de aanvallers continu data blijven exfiltreren.
rn- De aanvallers weten precies wat ze nodig hebben van de slachtoffers. Ze zoeken naar specifieke bestandsnamen die snel worden geïdentificeerd en overgedragen aan het C&C.
rn
rnAanval & functionaliteit
rnDe onderzoekers van Kaspersky creëerden een sinkhole voor 13 van de ruim 70 domeinen die de aanvallers gebruikten. Dit leverde statistieken op over het aantal slachtoffers wereldwijd. Daarnaast houden de Icefog Command & Control servers gecodeerde logs bij van de slachtoffers, samen met de verschillende activiteiten die door de aanvallers op hen worden uitgevoerd. Deze logs kunnen helpen bij het identificeren van de doelwitten van aanvallen en, in sommige gevallen, van de slachtoffers. Behalve in Japan en Zuid-Korea werden veel sinkhole-verbindingen waargenomen in diverse andere landen, waaronder Taiwan, Hong Kong, China, de VS, Australië, Canada, het Verenigd Koninkrijk, Italië, Duitsland, Oostenrijk, Singapore, Wit-Rusland en Maleisië. In totaal signaleerde Kaspersky Lab meer dan 4.000 unieke geïnfecteerde IP’s en enkele honderden slachtoffers (enkele tientallen Windows-slachtoffers en meer dan 350 Mac OS X-slachtoffers).
rn
rnOp basis van de IP-adressenlijst die werd gebruikt om de infrastructuur te bewaken en te controleren, gaan de Kaspersky Lab experts ervan uit dat enkele van de spelers/initiatiefnemers achter deze operatie zijn gevestigd in ten minste drie landen: China, Zuid-Korea en Japan.
rn
rnDe producten van Kaspersky Lab detecteren en elimineren alle varianten van deze malware.
rn
rnVoor het volledige rapport, inclusief een gedetailleerde beschrijving van de backdoors, statistieken en indicatoren van getroffen organisaties verwijzen wij u graag naar Securelist. Ook is een complete Icefog FAQ beschikbaar.
rnhttp://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers
Over Kaspersky Lab
rnKaspersky Lab is ‘s werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de meer dan zestien jaar van zijn bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor de enterprisemarkt, mkb-bedrijven en consumenten. Kaspersky Lab, met zijn holding geregistreerd in het Verenigd Koninkrijk, is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers. Meer informatie op www.kaspersky.com.
* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. Deze klassering werd gepubliceerd in het IDC-rapport “Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, augustus 2013). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2012.
rnVoor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.
