„Kaspersky Lab“ tyrimo centras parengė ataskaitą, nagrinėjančią kibernetinio šnipinėjimo grupės „IceFog“ veiksmus, taikomus Pietų Korėjos ir Japonijos organizacijų veiklai ir trikdančius Vakarų bendrovių tiekimo grandinių sistemos valdymą.
„Per pastaruosius kelerius metus tapome daugelio tikslinių atakų, nukreiptų į įvairias verslo kryptis, liudininkais. Daugeliu atvejų ilgus metus kenkėjai šeimininkaudavo korporatyviniuose ir vyriausybiniuose tinkluose, perimdami didžiulius vertingų duomenų kiekius, – komentuoja Vitalijus Kamliukas, „Kaspersky Lab“ pagrindinis antivirusų ekspertas. – „IceFog“ atakų taktika demonstruoja naują tendenciją: nedidelės kenkėjų grupės chirurgo tikslumu pradeda medžioti informaciją. Ataka tęsiasi nuo kelių dienų iki kelių savaičių. Gavę norimą informaciją kenkėjai pašalina pėdsakus ir pasitraukia. Mes prognozuojame, kad šių grupių, kurių specializacija – fokusuotos atakos, tik daugės. Tai kažkas panašaus į šiuolaikinius kibernetinius samdomus plėšikus.“
Tyrimo rezultatai rodo, kad grupės tikslas buvo gynybos srities tiekėjai (pvz., „Lig Nex1“ ir „Selectron Industrial Company“), laivų statybinės bendrovės („DMSE Tech“, „Hanjin Heavy Industries“), jūros krovinių bendrovės, telekomunikacijų operatoriai („Korea Telecom“), medijų bendrovės („Fuji TV“) ir Ekonominė Japonijos bei Kinijos asociacija. Įsibraudami į kompiuterius kibernetiniai nusikaltėliai vagia svarbius dokumentus ir bendrovių planus, pašto registracijos įrašų duomenis tinkle išorinių ir vidinių resursų prieigai. Atakų metu kenkėjai naudoja slaptą „IceFog“ rinkinį (taip pat žinomą kaip „Fucobha“). „Kaspersky Lab“ specialistai aptiko „IceFog“ versijas kaip Microsoft Windows, taip ir Mac OS X.
Kitų kibernetinio šnipinėjimo kampanijų metu aukų kompiuteriai būdavo užkrėsti mėnesius ar netgi metus ir suteikdavo kenkėjams galimybę nuolat perimti duomenis, o „IceFog“ operatoriai siekia savo tikslų nuosekliai, kopijuoja tik reikalingą informaciją, po to pasišalina. Dažniausiai operatoriai iš anksto žino, ko jiems reikia užkrėstuose kompiuteriuose. Jie ieško tam tikrų failų, pagal juos randa duomenis ir perduoda juos valdančiajam serveriui.
„Kaspersky Lab“ analitikai, taikydami „DNS Sinkhole“ technologiją, atsekė 13 iš daugiau nei 70 domenų užklausų, kurias naudoja kenkėjai. Tai sudarė viso pasaulio aukų skaičių statistiką. Be to, valdomuosiuose serveriuose saugomi šifruoti kiekvieno veiksmo, atlikto su tiksliniais ir užkrėstais kompiuteriais, įrašai. Tam tikrais atvejais tai padeda nustatyti atakos tikslą ir identifikuoti auką. Be Japonijos ir Pietų Korėjos, aptikta sujungimų su serveriais Taivane, Honkonge, Kinijoje, JAV, Australijoje, Kanadoje, Didžiojoje Britanijoje, Italijoje, Vokietijoje, Austrijoje, Singapūre, Baltarusijoje ir Malaizijoje. Iš viso „Kaspersky Lab“ ekspertai stebėjo daugiau nei 4000 unikalių užkrėstų kompiuterių IP adresų, priklausančių tūkstančiui aukų, iš kurių 350 naudojosi Mac OS X ir tik kelios dešimtys – Microsoft Windows.
Remiantis IP adresų, naudotų „IceFog“ infrastruktūros kontrolei, sąrašu „Kaspersky Lab“ specialistai mano, kad šios grupės narių yra mažiausiai trijose šalyse: Kinijoje, Pietų Korėjoje ir Japonijoje.
Visi „Kaspersky Lab“ produktai aptinka ir blokuoja bet kurias „IceFog“ modifikacijas. Išsamiau susipažinti su kenkėjų taikomų būdų aprašymais, taip pat sužinoti statistiką ir užkrėtimo požymius galima čia: http://www.securelist.com/en/analysis/204792307/The_Icefog_APT_Frequently_Asked_Questions |