"Лаборатория Касперского" зафиксировала таргетированные атаки против Японии и Южной Кореи
"Лаборатория Касперского" зафиксировала таргетированные атаки против Японии и Южной Кореи
"Лаборатория Касперского" зафиксировала таргетированные атаки против Японии и Южной Кореи
30.09.2013
Исследовательский центр "Лаборатории Касперского" опубликовал отчет, раскрывающий действия кибершпионской группы Icefog, нацеленной на организации Южной Кореи и Японии и наносящей урон поставщикам компонентов оборонной отрасли США. Активность группы началась в 2011 г., а в середине 2012 г. ее деятельность приобрела новый масштаб. "За последние несколько лет мы стали свидетелями множества таргетированных атак, бьющих по самым различным отраслям. Во многих случаях злоумышленники годами присутствовали в корпоративных и правительственных сетях и перехватывали терабайты ценных данных, — рассказал CNews Виталий Камлюк, ведущий антивирусный эксперт "Лаборатории Касперского". — Но тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с "хирургической" точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Мы ожидаем роста числа подобных групп, специализирующихся на фокусированных атаках — что-то вроде современных кибернаемников". Исследование показало, что среди целей группы были подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), судостроительные компании (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, телекоммуникационные операторы (Korea Telecom), медиа-компании (Fuji TV) и "Японо-Китайская Экономическая Ассоциация". Взламывая компьютеры, киберпреступники перехватывают внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных. Во время атак злоумышленники используют вредоносные программы семейства Icefog (так же известного, как Fucobha). Специалисты "Лаборатории Касперского" обнаружили версии Icefog как для Microsoft (Работайте по-новому с Office 365) Windows, так и для Mac OS X. Тогда как в случае других кибершпионских кампаний компьютеры жертв оставались зараженными месяцами или даже годами, позволяя злоумышленникам постоянно перехватывать данные, операторы Icefog обрабатывают свои цели одну за другой: находят и копируют только необходимую информацию, после чего самоустраняются, отметили в "Лаборатории Касперского". Чаще всего операторы заранее знают, что им требуется на зараженных компьютерах. Они ищут определенные имена файлов, показывая навыки японского и корейского языков, и когда находят то, что искали — передают на управляющий сервер. Эксперты "Лаборатории Касперского" с помощью техники DNS-sinkhole получили возможность мониторинга 13 из более чем 70 доменов, используемых злоумышленниками. Это предоставило дополнительную статистику по количеству и географии жертв в мире. Также на управляющих серверах в открытом доступе, но в зашифрованном виде были обнаружены журналы с описанием каждого действия, совершенного атакующими на зараженных компьютерах. В некоторых случаях это помогло определить цели атаки и идентифицировать жертв. В дополнение к Японии и Южной Кореи, было зарегистрировано множество попыток соединений из Тайвани, Гонконга, Китая, США, Австралии, Канады, Великобритании, Италии, Германии, Австрии, Сингапура, Белоруссии и Малайзии. В общей сложности, эксперты "Лаборатории Касперского" наблюдали более 4 тыс. уникальных IP-адресов зараженных машин, принадлежащих сотням жертв, 350 из которых пользовались Mac OS X и лишь несколько десятков — Microsoft Windows. Основываясь на ряде улик, оставленных атакующими, специалисты "Лаборатории Касперского" предполагают, что члены этой группы могут находиться в одной из трех стран: Китай, Южная Корея или Япония. Стоит также отметить, что практически все внутренние сообщения, найденные во вредоносной программе, были на китайском языке, так же как и ее код с основным языком операционной системы сервера управления Icefog. Все продукты "Лаборатории Касперского" обнаруживают и блокируют известные модификации Icefog, отметили в компании.
Copyright © 2018-2022, ООО "ГРОТЕК"