«Лаборатория Касперского» зафиксировала таргетированные атаки против Японии и Южной Кореи. Антивирусная защита в Алматы

30 сентября 2013

Исследовательский центр «Лаборатории Касперского» опубликовал отчет, раскрывающий действия кибершпионской группы Icefog, нацеленной на организации Южной Кореи и Японии и наносящей урон поставщикам компонентов оборонной отрасли США. Активность группы началась в 2011 г., а в середине 2012 г. ее деятельность приобрела новый масштаб.

«За последние несколько лет мы стали свидетелями множества таргетированных атак, бьющих по самым различным отраслям. Во многих случаях злоумышленники годами присутствовали в корпоративных и правительственных сетях и перехватывали терабайты ценных данных, — рассказал CNews Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». — Но тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с “хирургической” точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Мы ожидаем роста числа подобных групп, специализирующихся на фокусированных атаках — что-то вроде современных кибернаемников».

Исследование показало, что среди целей группы были подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), судостроительные компании (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, телекоммуникационные операторы (Korea Telecom), медиа-компании (Fuji TV) и «Японо-Китайская Экономическая Ассоциация». Взламывая компьютеры, киберпреступники перехватывают внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных.

Во время атак злоумышленники используют вредоносные программы семейства Icefog (так же известного, как Fucobha). Специалисты «Лаборатории Касперского» обнаружили версии Icefog как для Microsoft (Вам нужна автономная версия Office для бизнеса?) Windows, так и для Mac OS X.

Тогда как в случае других кибершпионских кампаний компьютеры жертв оставались зараженными месяцами или даже годами, позволяя злоумышленникам постоянно перехватывать данные, операторы Icefog обрабатывают свои цели одну за другой: находят и копируют только необходимую информацию, после чего самоустраняются, отметили в «Лаборатории Касперского». Чаще всего операторы заранее знают, что им требуется на зараженных компьютерах. Они ищут определенные имена файлов, показывая навыки японского и корейского языков, и когда находят то, что искали — передают на управляющий сервер.

Эксперты «Лаборатории Касперского» с помощью техники DNS-sinkhole получили возможность мониторинга 13 из более чем 70 доменов, используемых злоумышленниками. Это предоставило дополнительную статистику по количеству и географии жертв в мире. Также на управляющих серверах в открытом доступе, но в зашифрованном виде были обнаружены журналы с описанием каждого действия, совершенного атакующими на зараженных компьютерах. В некоторых случаях это помогло определить цели атаки и идентифицировать жертв. В дополнение к Японии и Южной Кореи, было зарегистрировано множество попыток соединений из Тайвани, Гонконга, Китая, США, Австралии, Канады, Великобритании, Италии, Германии, Австрии, Сингапура, Белоруссии и Малайзии. В общей сложности, эксперты «Лаборатории Касперского» наблюдали более 4 тыс. уникальных IP-адресов зараженных машин, принадлежащих сотням жертв, 350 из которых пользовались Mac OS X и лишь несколько десятков — Microsoft Windows.

Основываясь на ряде улик, оставленных атакующими, специалисты «Лаборатории Касперского» предполагают, что члены этой группы могут находиться в одной из трех стран: Китай, Южная Корея или Япония. Стоит также отметить, что практически все внутренние сообщения, найденные во вредоносной программе, были на китайском языке, так же как и ее код с основным языком операционной системы сервера управления Icefog.

Все продукты «Лаборатории Касперского» обнаруживают и блокируют известные модификации Icefog, отметили в компании.

Источник cnews.ru