Отчеты о целевых атаках (APT)

Киберстихийное бедствие: «Ледяной туман»

Icefog FAQ


Что же такое Icefog?

Такое название получила кампания по кибершпионажу, запущенная как минимум в 2011 году. Ее объектами являются правительственные организации, военные ведомства и компании, связанные с созданием вооружений, судостроительные фирмы, операторы телефонной и спутниковой связи, промышленные и высокотехнологичные компании, а также средства массовой информации, в основном в Южной Корее и Японии.

Кто стал ее жертвами?

На данный момент мы не раскрываем имен жертв. «Лаборатория Касперского» работает в контакте с атакованными организациями, а также с правительственными структурами с целью оказания им помощи в выявлении и ликвидации заражения.

Что вы можете сказать об объектах атак?

Наши технические специалисты полагают, что главный интерес для злоумышленников представлял ряд структур, в основном в Южной Корее, Японии и на Тайване. Это фирмы, работающие на оборонную промышленность, такие как Lig Nex1 и Selectron Industrial Company, судостроительные компании, например, DSME Tech, Hanjin Heavy Industries, операторы связи (Korea Telecom), а также медийные компании Fuji TV и Japan-China Economic Association.

Сам факт атак на эти организации не означает, что эти атаки были успешными. «Лаборатория Касперского» находится в контакте с атакованными организациями, а также с правительственными структурами с целью оказания им помощи в выявлении и ликвидации заражения.

Один из наиболее громких инцидентов с участием этой угрозы произошел в 2011 году, когда заражению подверглись Палата представителей и Палата советников Парламента Японии

.

Известно ли нам общее количество жертв?

Как правило, сосчитать точное количество жертв невозможно. Нам видна только часть общей картины: среди жертв — несколько десятков пользователей операционной системы Windows и более 350 — Mac. Важно отметить, что большинство атакованных Mac-пользователей (95%) находятся в Китае.

Почему вы называете программу Icefog?

Название Icefog позаимствовано из имени командного сервера, прописанного в одном из проанализированных нами образцов данного вредоносного ПО. Мы также выяснили, что название программного обеспечения командного сервера в переводе с китайского () выглядит как Dagger Three («Три кинжала»).

Для поклонников восточных единоборств — это то же самое, что , что означает вид древнего китайского оружия.

Примечание: другое название бэкдора, использованного в этих атаках, — Fucobha.

Для чего предназначен Icefog?

По сути, Icefog — это бэкдор, выступающий в роли интерактивного шпионского инструмента, который контролируется непосредственно злоумышленниками. Он не похищает данные автоматически — киберпреступники управляют им вручную, выполняя действия прямо на работающих зараженных системах. В ходе Icefog-атаки на машины пользователей загружаются другие вредоносные инструменты и бэкдоры для последовательного распространения в локальной сети жертвы и кражи данных.

Как Icefog заражает компьютеры?

Icefog распространяется с помощью целевых фишинговых рассылок, которые содержат либо вложения, либо ссылки на вредоносные сайты. Злоумышленники внедряют эксплойты для некоторых известных уязвимостей (например, CVE-2012-1856 и CVE-2012-0158) в документы Microsoft Word и Excel. Как только пользователь открывает эти файлы, бэкдор проникает в систему, и жертва видит уже совсем другой документ, документ-приманку.


Документ-приманка, показываемый пользователю после успешного исполнения эксплойта

Помимо документов Office, злоумышленники также используют вредоносные сайты с эксплойтами JAVA (CVE-2013-0422 и CVE-2012-1723) и вредоносные файлы HWP и HLP.

Примечание 1. 20 января 2013 года и 12 июня 2012 года Oracle выпустил патчи для обоих JAVA-эксплойтов.

Примечание 2. HWP — это файлы документов, используемые в текстовом редакторе Hangul. Согласно Википедии, Hangul (который также называют Hangul Word Processor или сокращенно HWP) — это текстовый редактор для работы с корейским языком, разработанный и запатентованный южнокорейской компанией Hancom Inc. Он широко используется в Южной Корее, особенно правительственными организациями.

Используют ли киберпреступники уязвимости нулевого дня?

Мы не сталкивались с использованием уязвимостей нулевого дня. Но мы не можем полностью исключить возможность атак на незакрытые уязвимости в программном обеспечении.

На примере одной из жертв мы наблюдали то, что предположительно было использованием эксплойта Kernel через приложение Java, и предположительно для того, чтобы расширить привилегии, хотя мы не знаем, была ли это атака нулевого дня или нет, поскольку файл был удален злоумышленниками сразу после его использования.

Эта угроза актуальна только для Windows-систем? Какие версии Windows под ударом? Есть ли версии для Mac OS X или Linux?

Существуют варианты Icefog как для Windows, так и для OS X. Компьютеры, работающие под Windows, заражаются посредством целевых «блиц-атак»: злоумышленники попадают на компьютер, крадут, что им нужно, и быстро уходят. Случаи заражения компьютеров под управлением Mac OS X демонстрируют другой метод — он выглядит как бета-тестирование бэкдора для Mac OS X.

Есть ли свидетельства существования вредоносного компонента для мобильных платформ iOS, Android или BlackBerry?

Хотя мы подозреваем, что существование варианта зловреда для Android вполне возможно, пока мы его не обнаружили.

Что происходит после заражения компьютера?

После загрузки бэкдора на компьютер, бэкдор действует как троянец с удаленным управлением, который имеет пять основных функции для ведения кибершпионажа:

  • Кража основной информации о системе и загрузка на командные серверы, которыми владеют и которые контролируют киберпреступники.
  • Приём команд киберпреступников и выполнение их на зараженном компьютере.
  • Кража паролей пользователя и их пересылка на командные серверы.
  • Загрузка файлов (инструментов) с командных серверов на зараженные компьютеры.
  • Прямое выполнение SQL-команд, передаваемых киберпреступниками, на любых MSSQL-серверах в сети.

В чём отличие Icefog от любой другой APT-атаки?

Вообще говоря, любая APT-атака особенна и по-своему уникальна. Если говорить об Icefog, у него есть характерные черты, которые отличают его от всех остальных зловредов подобного рода:

  • Icefog нацелен практически исключительно на Южную Корею и Японию
  • Кража файлов происходит не автоматически. Вместо этого злоумышленники обрабатывают жертвы одну за другой — ищут и копируют только определенную информацию
  • Командные серверы реализованы как веб-приложение на платформе Microsoft .NET
  • Командные серверы ведут полную запись производимых атак, где фиксируется каждая команда и каждое действие, производимое на компьютере-жертве
  • Используются HWP-документы с экплойтами
  • Известно несколько сотен случаев заражения Mac OS X компьютеров.

Как вы узнали об этой угрозе? Кто сообщил вам о ней?

В июне 2013 г. мы получили образец зловреда, который использовался при проведении целевой атаки против Fuji TV. В качестве метода атаки использовался целевой фишинг (spear-phishing): рассылаемое сообщение содержало вредоносное приложение, которое загружало на компьютер пользователя зловред Icefog. В ходе дальнейшего анализа мы определили другие варианты зловреда, а также зафиксировали несколько других случаев целевого фишинга.

Когда произошла последняя атака, стало очевидно, что мы имеем дело с новой версией того же зловреда, что использовался в 2011 г. при проведении атаки на японский парламент

.

Учитывая серьезность этой атаки, мы решили провести детальное расследование.

Сколько существует вариантов Icefog? Насколько сильно они различаются друг от друга?

Существует несколько вариантов Icefog, которые были созданыза последние несколько лет. Мы могли наблюдать следующие:

  • «Старый» Icefog образца 2011 года, который отсылает краденые данные по электронной почте. Эта версия использовалась в атаке на японский парламент в 2011 г.
  • «Нормальный» Icefog типа 1, который взаимодействует с командными серверами.
  • Icefog типа 2 — взаимодействует с прокси-сервером, который переадресует ему команды злоумышленников.
  • Icefog типа 3. Мы не располагаем образцом этого типа, однако мы обратили внимание на некий вид командных серверов, которые используют иной метод связи. Мы подозреваем, что существуют жертвы, зараженные вредоносным ПО такого типа.
  • Icefog типа 4 — ситуация аналогична типу 3.
  • Icefog-NG — связь осуществляется с помощью прямого TCP-соединения с портом 5600 командного сервера.

Активен ли всё ещё командный сервер, используемый Icefog? Смогли ли вы внедрить sinkhole-маршрутизатор вместо какого-либо из командных серверов Icefog?

Да, в данный момент активны несколько командных серверов Icefog; к ним подключены реальные, работающие компьютеры-жертвы. Да, нам удалось внедрить несколько sinkhole-маршрутизаторов на доменах, используемых Icefog, и собрать статистику о жертвах. Всего мы обнаружили более 3600 уникальных зараженных IP-адресов и несколько сотен компьютеров-жертв. Полная статистика по Icefog доступна в нашей публикации, посвященной Icefog.

Что именно крадется с зараженных компьютеров?

Злоумышленники крадут информацию нескольких видов, в том числе:

  • Секретные документы и бизнес-информацию
  • Логины и пароли к учётным записям электронной почты
  • Пароли для доступа к различным ресурсам как в локальной сети компьютера-жертвы, так и вне её

Финансирует ли эту атаку какое-либо конкретное государство?

Нет однозначных свидетельств того, что эта атака финансируется каким-либо государством. Единственно возможный метод выявить организаторов — это определить, кто может быть заинтересован в такого рода кампаниях.

APT-атаки могут быть нацелены на любую организацию или компанию, владеющую ценными данными; задачи атак могут быть различными — от кибершпионажа или разведопераций, финансируемых отдельными государствами, до «финансовой» киберпреступной операции. Судя по результатам анализа и географии атакованных компьютеров, киберпреступники могут зарабатывать деньги на краденных данных или использовать их в целях кибершпионажа.

Необычен стиль проведения этой операции — быстро удалиться с места преступления. В других случаях, компьютеры обычно, остаются зараженными в течение месяцев, а то и лет, и всё это время данные с них потихоньку сливаются на сторону. В противоположность этому киберпреступники, стоящие за Icefog, по всей видимости, заранее имеют очень чёткое представление о том, что им нужно от конкретной жертвы. Как только операция проведена и необходимая информация с конкретного компьютера получена, вредоносная активность на нём прекращается.

На протяжении последних лет мы замечаем значительный рост количества APT-атак, против самых разных целей в самых разных отраслях экономики и политики. Но все чаще целью злоумышленников становится кража секретной информации и экономический кибершпионаж.

В будущем мы ожидаем увеличение числа небольших групп, проводящих заказные APT-атаки и специализирующихся на операциях в стиле «быстро удалиться с места преступления».

Кто стоит за Icefog?

Информация о том, кто стоит за Icefog, есть в нашем закрытом отчёте, доступном для организаций, сотрудничающих с правительством и органами правопорядка.

Есть ли жертвы вне Японии и Южной Кореи?

Да, мы зафиксировали большое количество жертв ещё в нескольких странах: на Тайване, в Гонконге, США, Австралии, Канаде, Великобритании, Италии, Германии, Австрии, Сингапуре, Беларуси и Малайзии. Однако мы полагаем, что этот список стран не являетсядействительным отражением интересов атакующей стороны. Некоторые из образцов зловреда распространялись через публично доступные вебсайты, так что они могли случайно попасть на компьютеры пользователей из любой страны мира. Нам представляется, что это было сделано с целью тестирования работы и эффективности зловреда в различных условиях.

Как давно действуют эти злоумышленники?

Icefog активен по крайней мере с 2011 года, нацелен он в первую очередь на Южную Корею и Японию. Среди известных целей — правительственные учреждения, военные подрядчики, кораблестроительные фирмы, телекоммуникационные операторы, промышленные и высокотехнологичные компании, СМИ.

Использовались ли интересные / продвинутые технологии при проведении атак?

Командная инфраструктура Icefog необычна тем, что в них широко использованы технологии AJAX — благодаря этому этого она хорошо оформлена и проста в использовании.

Для проведения атак в Icefog широко используются HWP-документы — это редкий и необычный вид атак, в частности из-за того, что продукты HWP используются почти исключительно в Корее.

В одном случае заражения мы заметили, что был использован, по всей видимости, эксплойт ядра, реализованный в виде Java-приложения, который обеспечивал повышение привилегий в системе. Установить, был ли это 0-day экслойт или нет, не представляется возможности — вредоносный файл оказался недоступен.

Распознаёт ли «Лаборатория Касперского» все модификации этого зловреда?

Да, наши продукты распознают и устраняют все модификации этого зловреда:

Backdoor.ASP.Ace.ah
Backdoor.Win32.Agent.dcjj
Backdoor.Win32.Agent.dcwq
Backdoor.Win32.Agent.dcww
Backdoor.Win32.CMDer.ct
Backdoor.Win32.Visel.ars
Backdoor.Win32.Visel.arx
Exploit.MSWord.CVE-2010-3333.cg
Exploit.MSWord.CVE-2010-3333.ci
Exploit.MSWord.CVE-2012-0158.ae
Exploit.MSWord.CVE-2012-0158.az
Exploit.MSWord.CVE-2012-0158.bu
Exploit.MSWord.CVE-2012-0158.u
Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.u
Exploit.WinHLP.Agent.d
Trojan-Downloader.Win32.Agent.ebie
Trojan-Downloader.Win32.Agent.gxmp
Trojan-Downloader.Win32.Agent.gzda
Trojan-Downloader.Win32.Agent.gznn
Trojan-Downloader.Win32.Agent.tenl
Trojan-Downloader.Win32.Agent.vigx
Trojan-Downloader.Win32.Agent.vkcs
Trojan-Downloader.Win32.Agent.wcpy
Trojan-Downloader.Win32.Agent.wqbl
Trojan-Downloader.Win32.Agent.wqdv
Trojan-Downloader.Win32.Agent.wqqz
Trojan-Downloader.Win32.Agent.xrlh
Trojan-Downloader.Win32.Agent.xsub
Trojan-Downloader.Win32.Agent.xyqw
Trojan-Downloader.Win32.Agent.yavh
Trojan-Downloader.Win32.Agent.yium
Trojan-Dropper.Win32.Agent.gvfr
Trojan-PSW.Win32.MailStealer.j
Trojan-Spy.Win32.Agent.bwdf
Trojan-Spy.Win32.Agent.bxeo
Trojan.PHP.Agent.ax
Trojan.Win32.Genome.ydxx
Trojan.Win32.Icefog.*

Существуют ли инструменты диагностики заражения — чтобы помочь пользователю выявить заражение?

Да. Они опубликованы в рамках нашего подробного отчёта по Icefog (PDF; 5 MB; англ.).

Киберстихийное бедствие: «Ледяной туман»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике