Utrecht, 26 september 2013 - Onderzoekers van
Kaspersky Lab publiceren vandaag een nieuw onderzoeksrapport over "Icefog". Deze kleine Advanced Persistent Threats-groep (APT-groep) richt zich op doelen in Zuid-Korea en Japan en treft de supply chain van westerse bedrijven. De operatie begon in 2011 en nam in de afgelopen jaren zowel in omvang als reikwijdte toe.
"In de afgelopen jaren zagen we een aantal APT's aanvallen uitvoeren op vrijwel alle soorten slachtoffers en sectoren. In de meeste gevallen blijven aanvallers jarenlang actief in de door hen aangevallen bedrijfs- en overheidsnetwerken en exfiltreren ze terabytes aan gevoelige informatie”, aldus Costin Raiu, Directeur van het Global Research & Analysis Team. "De ‘hit and run’ aard van de Icefog-aanvallen toont een nieuwe opkomende trend: kleinere bendes die snel toeslaan en even snel weer verdwijnen en die met een chirurgische precisie op zoek gaan naar specifieke informatie. De aanval duurt meestal een paar dagen of weken en als de gezochte informatie binnen is, elimineren de aanvallers hun sporen en vertrekken ze. We voorspellen voor de toekomst een toename van het aantal kleine, specifieke ’APT-te-huur-groeperingen’ die gespecialiseerd zijn in dergelijke hit-and-run operaties; een soort ‘cyberhuurlingen’ van de moderne tijd".
De belangrijkste Icefog-bevindingen:
- De aanvallers hebben belangstelling, gebaseerd op de profielen van bekende doelwitten, voor de volgende sectoren: defensie, scheepsbouw en maritieme operaties, computer- en software-ontwikkeling, onderzoeksbedrijven, telecomaanbieders, satellietaanbieders, massamedia en televisie.
- De aanvallers waren geïnteresseerd in en richtten hun aanvallen op aannemers uit de defensie-industrie (zoals Lig Nex1 en Selectron Industrial Company), scheepsbouwbedrijven (DSME Tech en Hanjin Heavy Industries), telecomaanbieders (Korea Telecom), mediabedrijven (Fuji TV) en de Japan-China Economic Association.
- De aanvallers maken gevoelige documenten en ondernemingsplannen buit, evenals gegevens van e-mailaccounts en wachtwoorden die toegang bieden tot verschillende bronnen binnen en buiten het netwerk van de slachtoffers.
- De aanvallers maken gebruik van de "Icefog" backdoor set (ook bekend als "Fucobha"). Kaspersky Lab identificeerde Icefog-versies voor zowel Microsoft Windows als Mac OS X.
- De aanvallers handelen de slachtoffers een voor een af waarbij ze alleen specifieke, doelgerichte informatie lokaliseren en kopiëren. Zodra de gewenste informatie is verkregen, verdwijnen ze. Dit in tegenstelling tot de meeste andere APT-campagnes waarbij slachtoffers maanden- of zelfs jarenlang geïnfecteerd blijven en de aanvallers continu data blijven exfiltreren.
- De aanvallers weten precies wat ze nodig hebben van de slachtoffers. Ze zoeken naar specifieke bestandsnamen die snel worden geïdentificeerd en overgedragen aan het C&C.
Aanval & functionaliteit
De onderzoekers van Kaspersky creëerden een sinkhole voor 13 van de ruim 70 domeinen die de aanvallers gebruikten. Dit leverde statistieken op over het aantal slachtoffers wereldwijd. Daarnaast houden de Icefog Command & Control servers gecodeerde logs bij van de slachtoffers, samen met de verschillende activiteiten die door de aanvallers op hen worden uitgevoerd. Deze logs kunnen helpen bij het identificeren van de doelwitten van aanvallen en, in sommige gevallen, van de slachtoffers. Behalve in Japan en Zuid-Korea werden veel sinkhole-verbindingen waargenomen in diverse andere landen, waaronder Taiwan, Hong Kong, China, de VS, Australië, Canada, het Verenigd Koninkrijk, Italië, Duitsland, Oostenrijk, Singapore, Wit-Rusland en Maleisië. In totaal signaleerde Kaspersky Lab meer dan 4.000 unieke geïnfecteerde IP's en enkele honderden slachtoffers (enkele tientallen Windows-slachtoffers en meer dan 350 Mac OS X-slachtoffers).
Op basis van de IP-adressenlijst die werd gebruikt om de infrastructuur te bewaken en te controleren, gaan de Kaspersky Lab experts ervan uit dat enkele van de spelers/initiatiefnemers achter deze operatie zijn gevestigd in ten minste drie landen: China, Zuid-Korea en Japan.
De producten van Kaspersky Lab detecteren en elimineren alle varianten van deze malware.
Voor het volledige rapport, inclusief een gedetailleerde beschrijving van de backdoors, statistieken en indicatoren van getroffen organisaties verwijzen wij u graag naar
Securelist. Ook is een complete
Icefog FAQ beschikbaar.
Over Kaspersky Lab
Kaspersky Lab is 's werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de meer dan zestien jaar van zijn bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor de enterprisemarkt, mkb-bedrijven en consumenten. Kaspersky Lab, met zijn holding geregistreerd in het Verenigd Koninkrijk, is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers. Meer informatie op
www.kaspersky.com.
* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. Deze klassering werd gepubliceerd in het IDC-rapport "Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, augustus 2013). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2012.
Voor meer informatie zie
www.kaspersky.com/nl of
www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.
Noot voor redacties:
Voor hoge resolutie beeldmateriaal en overige informatie kunt u terecht op de Kaspersky Lab Newsroom Europe -
http://newsroom.kaspersky.eu - een portal waarop eenvoudig product- en bedrijfsinformatie, facts & figures, artikelen, persberichten, afbeeldingen, video’s en audiofragmenten te vinden en te downloaden zijn. Uiteraard kunt u ook contact opnemen met onderstaande contactpersonen.
Contactgegevens:
Kaspersky Lab
Caroline Breure
Tel. +31 (0)30 – 752 95 00
Caroline.Breure@kaspersky.nl
The Communication Force
Nanda Bechtholt
Tel. +31 (0) 23 56 56 850
nandab@communicationforce.com
© 2012 Kaspersky Lab. De informatie in dit document is onderhevig aan verandering zonder voorafgaande kennisgeving. De enige garanties voor producten van Kaspersky Lab en services is vastgelegd in de garantieverklaringen bij de betreffende producten en services. Niets in dit document kan worden opgevat als rechtgevend op extra garantie. Kaspersky Lab is niet aansprakelijk voor technische of redactionele fouten of weglatingen in deze publicatie.