Целевые ИТ-атаки против Японии и Южной Кореи


KasperskyLabsСпециалисты Лаборатории Касперского выпустили отчет, раскрывающий действия кибершпионской группы Icefog, действия которой нацелены на организации Южной Кореи и Японии, а также наносящей урон поставщикам компонентов оборонной отрасли США. Впервые активность группы была зафиксирована в 2011 году, а в середине 2012-го ее деятельность приобрела новый масштаб.

За последние несколько лет таргетированные атаки били по самым различным отраслям. Зачастую злоумышленники годами присутствовали в корпоративных и правительственных сетях, перехватывая терабайты ценных данных. Однако тактика атак хакеров Icefog продемонстрировала новую тенденцию. Точно нацеленные атаки продолжаются от нескольких дней до нескольких недель, а получив желаемое, злоумышленники подчищают следы и скрываются.

Исследование компании показало, что среди целей группы были:

  • подрядчики оборонной отрасли (корейские Lig Nex1 и Selectron Industrial Company);
  • судостроительные компании (DSME Tech, Hanjin Heavy Industries);
  • морские грузоперевозчики;
  • телекоммуникационные операторы (Korea Telecom);
  • медиа-компании (Fuji TV);
  • Японо-Китайская Экономическая Ассоциация.


Взломав компьютеры, киберпреступники начинали перехватывать внутренние документы и планы организаций, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных. При этом злоумышленники во время атак используют вредоносные программы семейства "Icefog", еще известные под именем "Fucobha".

Очень много было зафиксировано случаев, когда компьютеры жертв оставались зараженными месяцами или даже годами, позволяя злоумышленникам постоянно перехватывать данные. Зато операторы Icefog обрабатывали свои цели одну за другой, воруя только необходимую информацию, после чего самоустраняются. Интересен тот факт, что чаще всего операторы заранее знают, что им требуется на зараженных компьютерах. Они ищут определенные имена файлов, показывая навыки японского и корейского языков, и когда находят то, что искали - передают на управляющий сервер.

Эксперты с помощью техники "DNS-sinkhole" получили возможность мониторинга 13 из более чем 70 доменов, используемых злоумышленниками. Это предоставило дополнительную статистику по количеству и географии жертв в мире. Также на управляющих серверах в открытом доступе, но в зашифрованном виде были обнаружены журналы с описанием каждого действия, совершенного атакующими на зараженных компьютерах. В некоторых случаях это помогло определить цели атаки и идентифицировать жертв. В дополнение к Японии и Южной Кореи, было зарегистрировано множество попыток соединений из:

  • Тайвани;
  • Гонконга;
  • Китая;
  • США;
  • Австралии;
  • Канады;
  • Великобритании;
  • Италии;
  • Германии;
  • Австрии;
  • Сингапура;
  • Белоруссии;
  • Малайзии.


В общей сложности было зафиксировано более 4 тыс. уникальных IP-адресов зараженных машин, принадлежащих сотням жертв, 350 из которых пользовались Mac OS X, и лишь несколько десятков – Microsoft Windows.

Специалисты предполагают, что члены этой группы могут находиться в одной из трех стран: Китае, Южной Корее или Японии. Интересно, но практически все внутренние сообщения, найденные во вредоносной программе, были на китайском языке, так же как и ее код с основным языком операционной системы сервера управления Icefog.


Обновлено (26.09.2013 21:29)