El equipo de investigación de seguridad de Kaspersky Lab ha publicado hoy un nuevo trabajo de investigación sobre el descubrimiento de "Icefog”, un pequeño pero muy activo grupo de APT (Amenazas Persistentes Avanzadas) centrado en objetivos de Corea del Sur y Japón, afectando a la producción de empresas occidentales. La operación se inició en 2011 y el aumentó en tamaño y alcance en los últimos años.

"Durante los últimos años hemos visto gran un número de APTs que atacaban cualquier tipo de víctima y sector. En la mayoría de los casos, los atacantes mantienen una presencia en las redes corporativas y gubernamentales durante años y extraen terabytes de información confidencial”, afirma Costin Raiu, Director, Global Research & Analysis Team de Kaspersky Lab. "La naturaleza de los ataques Icefog demuestran una nueva tendencia: han surgido pequeñas bandas que actúan persiguiendo información con intervenciones muy precisas. El ataque suele durar unos pocos días o semanas, y después de haber obtenido lo que buscaban, hacen limpieza y se marchan. En el futuro, creemos que aumentará el número de grupos pequeños, enfocados en APT de alquiler especializados en operaciones de hit-and-run, una especie de "cibermercenarios".

Principales conclusiones

• Según los perfiles de los objetivos descubiertos, los ciberdelincuentes parecen tener un interés especial en los siguientes sectores: militar, naval y operaciones marítimas, equipos y desarrollo de software, empresas de investigación, operadores de telecomunicaciones, los operadores de satélites, medios de comunicación y la televisión.
• Algunas de estas empresas son Lig Nex1 y Selectron Industrial Company del sector defensa; construcción naval como DSME Tech, Hanjin Heavy Industries; operadores de telecomunicaciones como Korea Telecom; y medios de comunicación como Fuji TV y la Japan-China Economic Association.
• Los atacantes secuestran documentos sensibles, planes de la compañía, credenciales de cuentas de correos electrónicos y contraseñas de acceso a diferentes recursos dentro y fuera de la red de la víctima.
• Durante la operación, los atacantes han utilizado un conjunto de "Icefog" backddor (también conocido como "Fucobha"). Kaspersky Lab identificó versiones de Icefog tanto para Microsoft Windows como para Mac OS X.
• En la mayoría de las campañas de APT, las víctimas permanecen infectadas durante meses o incluso años, y los atacantes extraen continuamente datos. Los operadores Icefog están procesando las víctimas una por una – localizan y copian sólo información específica. Una vez que se ha obtenido la información requerida, se van.
• En casi todos los casos, los operadores Icefog parecen saber muy bien lo que necesitan de las víctimas. Buscan nombres de archivo específicos, que se identifican con rapidez, y se transfieren a la C&C.

El ataque y funcionalidad

Los analistas Kaspersky han “sinkholizado” 13 de los más de 70 dominios utilizados por los atacantes. Esto ha aportado datos concretos sobre el número de víctimas existentes en todo el mundo. Además, los servidores de comando y control Icefog mantienen registros cifrados de las víctimas, junto con las diversas operaciones que se realizan sobre ellos por los operadores. Estos registros a veces pueden ayudar a identificar los objetivos de los ataques y, en algunos casos, a las víctimas. Además de Japón y Corea del Sur, se observaron muchas conexiones del sinkhole con otros países, incluyendo Taiwán, Hong Kong, China, EE.UU., Australia, Canadá, Reino Unido, Italia, Alemania, Austria, Singapur, Bielorrusia y Malasia. En total, Kaspersky Lab observó más de 4.000 IPs únicas infectadas y varios cientos de víctimas (unas pocas docenas de Windows y más de 350 víctimas de Mac OS X).

Basado en la lista de direcciones IP utilizadas para monitorizar y controlar la infraestructura, los expertos de Kaspersky Lab asumen que algunos de los actores de esta operación están centrados en al menos tres países: China, Corea del Sur y Japón.
Los productos de Kaspersky Lab detectan y eliminan todas las variantes de este malware.