Les chercheurs de Kaspersky Lab publient aujourd’hui un nouveau rapport d’enquête sur « Icefog ». Ce petit
Advanced Persistent Threats-groupe (APT) mène des attaques sur des objectifs en Corée du Sud et au Japon, en ciblant la chaîne d’approvisionnement d’entreprises occidentales. L’opération a débuté
en 2011, mais son ampleur et sa portée ont augmenté au cours de ces dernières années.
"Ces dernières années, nous avons observé plusieurs attaques APT sur toutes sortes de victimes et de secteurs.
Dans la majorité des cas, les pirates restent actifs pendant plusieurs années dans les réseaux des entreprises et des administrations qu’il ont attaqués, et ils exfiltrent des téraoctets
d’informations sensibles”, indique Costin Raiu, Directeur du Global Research & Analysis Team. "La nature « éclair » des attaques Icefog démontre l’apparition d’une nouvelle tendance: des
bandes de plus petite taille qui frappent rapidement, avant de disparaître tout aussi vite, et qui recherchent des informations spécifiques, avec une précision chirurgicale. L’attaque dure
généralement deux ou trois jours ou semaines, et lorsque les informations recherchées ont été obtenues, les pirates éliminent leurs traces et s’envolent. A l’avenir, nous prédisons une
augmentation du nombre de petits « groupes qui loueront leurs services pour mener des attaques APT » spécifiques, spécialisés dans ce genre d’opérations « éclair », une sorte de «
cyber-mercenaires » des temps modernes".
Principaux constats sur Icefog:
-
Les pirates s’intéressent, sur la base des profils de cibles connues, aux secteurs suivants: défense, construction
navale et opérations maritimes, développement d’ordinateurs et de logiciels, sociétés de recherches, opérateurs télécoms, fournisseurs de satellites, médias et télévision.
-
Les pirates ont mené leurs attaques contre des entrepreneurs de l’industrie de la défense (comme Lig Nex1 et Selectron
Industrial Company), des sociétés de construction navale (DSME Tech et Hanjin Heavy Industries), des opérateurs télécoms (Korea Telecom), des sociétés de médias (Fuji TV) ainsi que la
Japan-China Economic Association.
-
Les pirates dérobent des documents sensibles et des plans d’entreprises, ainsi que des données de comptes e-mail et
des mots de passe donnant accès à différentes sources au sein et en dehors du réseau des victimes.
-
Les pirates utilisent l’ensemble backdoor « Icefog » (également connu sous le nom de « Fucobha »). Kaspersky Lab a
identifié des versions d’Icefog tant pour Microsoft Windows que Mac OS X.
-
Les pirates ciblent les victimes une à une, de manière à localiser et copier uniquement des informations spécifiques
ciblées. Dès qu’ils ont obtenu les informations souhaitées, ils disparaissent. Et ce contrairement aux autres campagnes APT où des victimes peuvent rester infectées pendant des mois, voire des
années, et où les pirates continuent d’exfiltrer des données en permanence.
-
Les pirates savent exactement ce
qu’ils veulent dérober aux victimes. Ils recherchent des noms de fichiers spécifiques qui sont rapidement identifiés et transférés aux serveurs de commande et de contrôle.
Attaque et fonctionnalités
Les chercheurs de Kaspersky ont créé un « sinkhole » pour 13 des plus de 70 domaines utilisés par les pirates,
obtenant ainsi des statistiques sur le nombre de victimes au niveau mondial. De plus, les serveurs de commande et de contrôle Icefog tiennent à jour des journaux codés des victimes, en même temps
que les différentes activités réalisées par les pirates sur ceux-ci. Ces journaux peuvent être utiles pour identifier des cibles d’attaques et, dans certains cas, les victimes. En dehors du Japon
et de la Corée du Sud, de nombreuses connexions « sinkhole » ont été observées dans différents autres pays, comme Taiwan, Hong Kong, la Chine, les Etats-Unis, l’Australie, le Canada, le
Royaume-Uni, l’Italie, l’Allemagne, l’Autriche, Singapour, la Biélorussie et la Malaisie. Au total, Kaspersky Lab a signalé plus de 4.000 adresses IP infectées et plusieurs centaines de victimes
(plusieurs dizaines de victimes Windows et plus de 350 victimes Mac OS X).
En se basant sur la liste des adresses IP utilisées pour surveiller et contrôler l’infrastructure, les experts de
Kaspersky Lab estiment que plusieurs des auteurs/initiateurs de cette opération sont établis au moins dans trois pays: la Chine, la Corée du Sud et le Japon.
Les produits de Kaspersky Lab détectent et éliminent toutes les variante de ce malware.