Llegamos a ustedes gracias a:



Alertas de Seguridad

Kaspersky Lab expone a Icefog

Una nueva campaña de ciberespionaje

[07/10/2013] El equipo de investigación en seguridad de Kaspersky Lab ha publicado un nuevo trabajo de investigación sobre el descubrimiento de "Icefog", un pequeño pero energético grupo de APT (amenazas persistentes y avanzadas, por sus siglas en inglés) que se centra en blancos en Corea del Sur y Japón, atacando a las cadenas de suministro de empresas occidentales. La operación se inició en el 2011 y ha crecido en tamaño y alcance en los últimos años.
"Durante los últimos años, hemos visto numerosas APT que atacan a una gran diversidad de víctimas y sectores. En la mayoría de los casos, los atacantes mantienen una presencia en las redes corporativas y gubernamentales durante años, extrayendo terabytes de información confidencial, señaló Costin Raiu, director del Equipo Mundial de Investigación y Análisis. La naturaleza relámpago de los ataques Icefog demuestran una nueva tendencia: pequeñas bandas que atacan de forma relámpago y extraen la información con precisión quirúrgica. El ataque suele durar unos pocos días o semanas, y después de haber obtenido lo que buscaban, los atacantes borran sus huellas y se van. En el futuro, podemos prever un crecimiento en el número de pequeños grupos de APT a sueldo, especializados en operaciones relámpago, una especie de mercenarios cibernéticos del mundo moderno, agregó.
El ejecutivo señaló que basándose en los perfiles de los blancos conocidos, los atacantes parecen estar interesados en los siguientes sectores: operaciones militares, navales y marítimas, informática y desarrollo de software, empresas de investigación, operadores de telecomunicaciones, operadores de satélites, medios de comunicación masiva y televisión.
La investigación indica, asimismo, que los atacantes tenían interés en atacar a empresas de la industria de la defensa, como Lig Nex1 y Selectron Industrial Company, empresas navieras como DSME Tech, Hanjin Heavy Industries, operadores de telecomunicaciones, tales como Korea Telecom, empresas de comunicación, como Fuji TV y Japan-China Economic Association.
Los atacantes violan documentos y planes empresariales confidenciales, datos de las cuenta de correo electrónico y contraseñas de acceso a diferentes recursos dentro y fuera de la red de la víctima, señaló Raiu, agregando que durante la operación, los atacantes utilizan el conjunto de puerta trasera Icefog (también conocido como Fucobha). Kaspersky Lab ha identificado versiones de Icefog tanto para Microsoft Windows como para Mac OS X.
Si bien en la mayoría de las campañas de APT las víctimas permanecen infectadas durante meses o incluso años, y los atacantes realizan una extracción continua de datos, los operadores de Icefog procesan a sus víctimas una a la vez - localizan y copian sólo la información específica a la que apuntan. Una vez que la información requerida se ha obtenido, se van, agregó Raiu.
El ataque y su funcionalidad
Los investigadores de Kaspersky Lab han hecho un snikhole DNS de 13 de los más de 70 dominios utilizados por los atacantes, lo cual proporcionó estadísticas sobre el número de víctimas en todo el mundo. Además, los servidores de comando y control de Icefog mantienen registros cifrados de las víctimas, junto con las diversas operaciones que los operadores realizan con ellas. Estos registros a veces pueden ayudar a identificar los objetivos de los ataques y, en algunos casos, a las víctimas. Además de Japón y Corea del Sur, se observaron muchas conexiones identificadas en varios países más, entre ellos Taiwán, Hong Kong, China, EE.UU., Australia, Canadá, Reino Unido, Italia, Alemania, Austria, Singapur, Bielorrusia y Malasia. En total, Kaspersky Lab se observó más de cuatro mil IP infectadas y varios centenares de víctimas (una docena de víctimas de Windows y más de 350 víctimas de Mac OS X), señaló Raiu.
Basado en la lista de direcciones IP utilizadas para monitorear y controlar la infraestructura, los expertos de Kaspersky Lab suponen que algunos de los autores de las amenazas detrás de esta operación están radicados en al menos tres países: China, Corea del Sur y Japón. Los productos de Kaspersky Lab detectan y eliminan todas las variantes de este malware, indicó Raiu.
CIO, Perú