„Icefog“: Neue Cyberspionage-Kampagne attackiert Lieferketten

Kleine, überfallartig zuschlagende Gruppen führen präzise Operationen aus

[datensicherheit.de, 26.09.2013] Kaspersky Lab veröffentlicht eine Analyse über die Entdeckung von „Icefog“ [1], einer kleinen, aber sehr dynamischen APT-Gruppe [2] für zielgerichtete Attacken, die es auf Objekte in Südkorea und Japan abgesehen hat – mit dem Zweck, Lieferketten von westlichen Firmen zu zerschlagen. Die Operation begann im Jahr 2011 und hat sich anschließend immer weiter ausgebreitet.

„In den vergangenen Jahren haben wir zahlreiche APT-Attacken gesehen, die es auf alle möglichen Ziele und Branchen abgesehen haben. Meistens erhielten die Angreifer dadurch jahrelangen Zugang zu Netzwerken von Unternehmen oder Regierungsorganisationen und konnten kritische Informationen im Terabyte-Bereich abgreifen“, so Costin Raiu, Director, Global Research & Analysis Team bei Kaspersky Lab. „Die Angriffe von Icefog erfolgten überfallsartig. Wir sehen daher folgenden Trend: Kleine überfallartig zuschlagende Gruppen zielen mit chirurgischer Präzision auf Informationen ab. Diese Attacken erfolgen über mehrere Tage oder Wochen; nachdem die Angreifer, das bekommen haben, was sie suchen, verwischen sie ihre Spuren und ziehen sich zurück. Wir erwarten künftig weitere kleine, für APT-Angriffe angeheuerte Gruppen, die sich auf überfallartige Operationen spezialisiert haben. Man könnte diese auch mit Cybersöldnern in einer modernen Welt vergleichen.“

Die wichtigsten Befunde der Kaspersky-Analyse zu „Icefog“ sind:

• Basierend auf Profilen der bekannten Ziele, haben es die Angreifer offenbar auf folgende Bereiche abgesehen: Militär, Schiffsbau und maritime Operationen, Computer- und Softwareentwicklung, Forschungseinrichtungen, Telekommunikationsbetreiber, Satellitenbetreiber, Massenmedien und TV-Anbieter.
• Es gibt Hinweise darauf, dass die die Attacken auf Unternehmen in der Rüstungsindustrie wie Lig Nex 1 und Selectron Industrial Company, Schiffsbaufirmen wie DSME Tech, Hanjin Heavy Industries, Telekommunikationsbetreiber wie Korea Telecom, Medienunternehmen wie Fuji TV und Organisationen wie die Japan-China Economic Association abzielten.
• Die Angreifer konnten unternehmenskritische Daten, E-Mail-Account-Daten sowie Passwörter entwenden, die Zugang zu verschieden Ressourcen inner- und außerhalb der Netzwerke der Opfer gewähren.
• Während der Operation nutzten die Angreifer das „Icefog“-Backdoor-Set (auch als „Fucobha“ bekannt). Kaspersky Lab identifizierte Icefog-Versionen für Microsoft Windows und für Mac OS X.
• Bei den meisten APT-Kampagnen bleiben die Opfer über Monate oder Jahre hinweg infiziert und die Angreifer saugten kontinuierlich Daten ab. Die Icefog-Gruppe hingegen nimmt sich ein Opfer nach dem anderem vor. Dabei lokalisieren und kopieren die Hintermänner zielgerichtet nur spezielle Informationen. Haben sie die gewünschte Information erhalten, ziehen sie sich zurück.
• In den meisten Fällen schienen die „Icefog“-Angreifer genau zu wissen, was sie von welchen Opfern benötigen. Sie haben nach speziellen Dateinamen gesucht, die schnell identifiziert und zu einem C&C-Server transferiert wurden.

Mehr Mac- als Windows-Opfer

Die Kaspersky-Experten haben 13 von mehr als 70 Domains, die von den Angreifern genutzt wurden, auf ein Sinkhole umgeleitet. Damit konnten Statistiken über die Zahl der Opfer weltweit erstellt werden. Zusätzlich erhalten die von Icefog genutzten C&C-Server verschlüsselte Log-Daten der Opfer in Kombination mit Informationen zu verschiedenen Operationen, die von den Angreifern ausgeübt wurden. Über diese Log-Daten können zum Teil die Ziele der Attacken und in machen fällen auch die Opfer identifiziert werden. Neben Japan und Südkorea wurden mehrere Sinkhole-Verbindungen zu verschiedenen anderen Ländern festgestellt, zum Beispiel Deutschland und Österreich sowie Taiwan, Hong Kong, China, USA, Australien, Kanada, Großbritannien, Italien, Singapur, Weißrussland und Malaysia. Insgesamt konnte Kaspersky Lab mehr als 4.000 individuelle, infizierte IP-Adressen und mehrere hundert Opfer ausmachen – davon einige Dutzend Windows- und mehr als 350 Mac OS X Opfer.

Basierend auf einer IP-Liste, die zur Beobachtung und Kontrolle der Infrastruktur genutzt wurde, gehen die Kaspersky-Experten davon aus, dass einige der Hintermänner von „Icefog“ in den folgenden drei Ländern sitzen: China, Südkorea und Japan.

Weitere Informationen zum Thema_

[1] http://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers
[2] APT bedeutet Advanced Persistent Threat und ist mit einem komplexen, zielgerichteten und effektiven Cyberangriff gleichzusetzen: