Neue Cyber-Spionagekampagne "Icefog" attackiert Lieferketten
Kaspersky: Cybersöldner führen präzise Operationen aus
Kaspersky Lab veröffentlichte soeben eine Analyse über die Entdeckung von "Icefog" [1], einer kleinen, aber sehr dynamischen APT-Gruppe [2] für zielgerichtete Attacken, die es auf Objekte in Südkorea und Japan abgesehen hat - mit dem Zweck, Lieferketten von westlichen Firmen zu zerschlagen. Die Operation begann im Jahr 2011 und hat sich anschließend immer weiter ausgebreitet.
„In den vergangenen Jahren haben wir zahlreiche APT-Attacken gesehen, die es auf alle möglichen Ziele und Branchen abgesehen haben. Meist erhielten die Angreifer dadurch jahrelangen Zugang zu Netzwerken von Unternehmen oder Regierungsorganisationen und konnten kritische Informationen im TByte-Bereich abgreifen“, so Costin Raiu, Director, Global Research and Analysis Team bei Kaspersky Lab. „Die Angriffe von Icefog erfolgten überfallsartig.“
Der Experte sieht daher folgenden Trend: Kleine überfallartig zuschlagende Gruppen zielen mit chirurgischer Präzision auf Informationen ab. Diese Attacken erfolgen über mehrere Tage oder Wochen; nachdem die Angreifer das bekommen haben, was sie suchen, verwischen sie ihre Spuren und ziehen sich zurück. Der Experte erwartet künftig weitere kleine, für APT-Angriffe angeheuerte Gruppen, die sich auf überfallartige Operationen spezialisiert haben. Man könne diese auch mit Söldnern in einer modernen Welt vergleichen.
Die wichtigsten Befunde der Kaspersky-Analyse zu „Icefog“ sind:
• Basierend auf Profilen der bekannten Ziele, haben es die Angreifer offenbar auf folgende Bereiche abgesehen: Militär, Schiffsbau und maritime Operationen, Computer- und Softwareentwicklung, Forschungseinrichtungen, Telekommunikationsbetreiber, Satellitenbetreiber, Massenmedien und TV-Anbieter.
• Es gibt Hinweise darauf, dass die die Attacken auf Unternehmen in der Rüstungsindustrie wie Lig Nex 1 und Selectron Industrial Company, Schiffsbaufirmen wie DSME Tech, Hanjin Heavy Industries, Telekommunikationsbetreiber wie Korea Telecom, Medienunternehmen wie Fuji TV und Organisationen wie die Japan-China Economic Association abzielten.
• Die Angreifer konnten unternehmenskritische Daten, E-Mail-Account-Daten sowie Passwörter entwenden, die Zugang zu verschieden Ressourcen inner- und außerhalb der Netzwerke der Opfer gewähren.
• Während der Operation nutzten die Angreifer das „Icefog“-Backdoor-Set (auch als „Fucobha“ bekannt). Kaspersky Lab identifizierte Icefog-Versionen für Microsoft Windows und für Mac OS X.
• Bei den meisten APT-Kampagnen bleiben die Opfer über Monate oder Jahre hinweg infiziert und die Angreifer saugen kontinuierlich Daten ab. Die Icefog-Gruppe hingegen nimmt sich ein Opfer nach dem anderem vor. Dabei lokalisieren und kopieren die Hintermänner zielgerichtet nur spezielle Informationen. Haben sie die gewünschte Information erhalten, ziehen sie sich zurück.
• In den meisten Fällen schienen die „Icefog“-Angreifer genau zu wissen, was sie von welchen Opfern benötigen. Sie haben nach speziellen Dateinamen gesucht, die schnell identifiziert und zu einem C&C-Server transferiert wurden.
Die Kaspersky-Experten haben nach eigenen Angaben 13 von mehr als 70 Domains, die von den Angreifern genutzt wurden, auf ein Sinkhole umgeleitet. Damit konnten Statistiken über die Zahl der Opfer weltweit erstellt werden. Zusätzlich erhalten die von Icefog genutzten C&C-Server verschlüsselte Logdaten der Opfer in Kombination mit Informationen zu verschiedenen Operationen, die von den Angreifern ausgeübt wurden. Über diese Logdaten können zum Teil die Ziele der Attacken und in machen Fällen auch die Opfer identifiziert werden. Neben Japan und Südkorea wurden mehrere Sinkhole-Verbindungen zu verschiedenen anderen Ländern festgestellt, zum Beispiel Deutschland und Österreich sowie Taiwan, Hong Kong, China, USA, Australien, Kanada, Großbritannien, Italien, Singapur, Weißrussland und Malaysia. Insgesamt konnte Kaspersky Lab mehr als 4.000 individuelle, infizierte IP-Adressen und mehrere hundert Opfer ausmachen – davon einige Dutzend Windows- und mehr als 350 Mac-OS-X-Opfer.
Basierend auf einer IP-Liste, die zur Beobachtung und Kontrolle der Infrastruktur genutzt wurde, gehen die Kaspersky-Experten davon aus, dass einige der Hintermänner von „Icefog“ in China, Südkorea und Japan sitzen.
Eine detaillierte Analyse zu Icefog ist hier abrufbar:
www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers
de.wikipedia.org/wiki/Advanced_Persistent_Threat
Lesen Sie mehr zum Thema
