Aktuelles, Branche - geschrieben von cp am Donnerstag, September 26, 2013 9:36 - noch keine Kommentare
„Icefog“: Neue Cyberspionage-Kampagne attackiert Lieferketten
Kleine, überfallartig zuschlagende Gruppen führen präzise Operationen aus
[datensicherheit.de, 26.09.2013] Kaspersky Lab veröffentlicht eine Analyse über die Entdeckung von „Icefog“ [1], einer kleinen, aber sehr dynamischen APT-Gruppe [2] für zielgerichtete Attacken, die es auf Objekte in Südkorea und Japan abgesehen hat – mit dem Zweck, Lieferketten von westlichen Firmen zu zerschlagen. Die Operation begann im Jahr 2011 und hat sich anschließend immer weiter ausgebreitet.
„In den vergangenen Jahren haben wir zahlreiche APT-Attacken gesehen, die es auf alle möglichen Ziele und Branchen abgesehen haben. Meistens erhielten die Angreifer dadurch jahrelangen Zugang zu Netzwerken von Unternehmen oder Regierungsorganisationen und konnten kritische Informationen im Terabyte-Bereich abgreifen“, so Costin Raiu, Director, Global Research & Analysis Team bei Kaspersky Lab. „Die Angriffe von Icefog erfolgten überfallsartig. Wir sehen daher folgenden Trend: Kleine überfallartig zuschlagende Gruppen zielen mit chirurgischer Präzision auf Informationen ab. Diese Attacken erfolgen über mehrere Tage oder Wochen; nachdem die Angreifer, das bekommen haben, was sie suchen, verwischen sie ihre Spuren und ziehen sich zurück. Wir erwarten künftig weitere kleine, für APT-Angriffe angeheuerte Gruppen, die sich auf überfallartige Operationen spezialisiert haben. Man könnte diese auch mit Cybersöldnern in einer modernen Welt vergleichen.“
Die wichtigsten Befunde der Kaspersky-Analyse zu „Icefog“ sind:
- Basierend auf Profilen der bekannten Ziele, haben es die Angreifer offenbar auf folgende Bereiche abgesehen: Militär, Schiffsbau und maritime Operationen, Computer- und Softwareentwicklung, Forschungseinrichtungen, Telekommunikationsbetreiber, Satellitenbetreiber, Massenmedien und TV-Anbieter.
- Es gibt Hinweise darauf, dass die die Attacken auf Unternehmen in der Rüstungsindustrie wie Lig Nex 1 und Selectron Industrial Company, Schiffsbaufirmen wie DSME Tech, Hanjin Heavy Industries, Telekommunikationsbetreiber wie Korea Telecom, Medienunternehmen wie Fuji TV und Organisationen wie die Japan-China Economic Association abzielten.
- Die Angreifer konnten unternehmenskritische Daten, E-Mail-Account-Daten sowie Passwörter entwenden, die Zugang zu verschieden Ressourcen inner- und außerhalb der Netzwerke der Opfer gewähren.
- Während der Operation nutzten die Angreifer das „Icefog“-Backdoor-Set (auch als „Fucobha“ bekannt). Kaspersky Lab identifizierte Icefog-Versionen für Microsoft Windows und für Mac OS X.
- Bei den meisten APT-Kampagnen bleiben die Opfer über Monate oder Jahre hinweg infiziert und die Angreifer saugten kontinuierlich Daten ab. Die Icefog-Gruppe hingegen nimmt sich ein Opfer nach dem anderem vor. Dabei lokalisieren und kopieren die Hintermänner zielgerichtet nur spezielle Informationen. Haben sie die gewünschte Information erhalten, ziehen sie sich zurück.
- In den meisten Fällen schienen die „Icefog“-Angreifer genau zu wissen, was sie von welchen Opfern benötigen. Sie haben nach speziellen Dateinamen gesucht, die schnell identifiziert und zu einem C&C-Server transferiert wurden.
Mehr Mac- als Windows-Opfer
Die Kaspersky-Experten haben 13 von mehr als 70 Domains, die von den Angreifern genutzt wurden, auf ein Sinkhole umgeleitet. Damit konnten Statistiken über die Zahl der Opfer weltweit erstellt werden. Zusätzlich erhalten die von Icefog genutzten C&C-Server verschlüsselte Log-Daten der Opfer in Kombination mit Informationen zu verschiedenen Operationen, die von den Angreifern ausgeübt wurden. Über diese Log-Daten können zum Teil die Ziele der Attacken und in machen fällen auch die Opfer identifiziert werden. Neben Japan und Südkorea wurden mehrere Sinkhole-Verbindungen zu verschiedenen anderen Ländern festgestellt, zum Beispiel Deutschland und Österreich sowie Taiwan, Hong Kong, China, USA, Australien, Kanada, Großbritannien, Italien, Singapur, Weißrussland und Malaysia. Insgesamt konnte Kaspersky Lab mehr als 4.000 individuelle, infizierte IP-Adressen und mehrere hundert Opfer ausmachen – davon einige Dutzend Windows- und mehr als 350 Mac OS X Opfer.
Basierend auf einer IP-Liste, die zur Beobachtung und Kontrolle der Infrastruktur genutzt wurde, gehen die Kaspersky-Experten davon aus, dass einige der Hintermänner von „Icefog“ in den folgenden drei Ländern sitzen: China, Südkorea und Japan.
Weitere Informationen zum Thema_
[1] http://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers
[2] APT bedeutet Advanced Persistent Threat und ist mit einem komplexen, zielgerichteten und effektiven Cyberangriff gleichzusetzen:
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren