La APT Icefog – espionaje clandestino

0

El mundo de las APT o amenazas persistentes avanzadas (termino con el que debiéramos estar ya familiarizados) es bien conocido. Adversarios con buenos conocimientos  que comprometen los equipos del víctimas de “alto nivel” (mandatarios, cargos ejecutivos, etc) y extraen su información para venderla al mejor postor o por mandato de alguien que contrata sus servicios. Hablamos de equipos que pueden llegar a contabilizar decenas o cientos de personas, llegando a medirse la cantidad de datos robados en petabytes.

Aunque hay una atención creciente en atribuir y localizar los focos de estos ataques, no se sabe demasiado aún de otra rama emergente: los equipos de gangsters que realizan trabajos específicos “Hit and Run” (golpea y corre) comprometiendo objetivos concretos con precisión quirúrgica.

Desde 2011 los expertos en seguridad han estado siguiendo los pasos de estos atacantes, en concreto uno que recibe el nombre de “Icefog”. Se cree que es un pequeño grupo de individuos que andan tras la cadena de suministros -objetivos como instituciones gubernamentales, contratistas militares, fabricantes de aparatos marítimos y astilleros, operadores de telefonía, operadores de satélite y otras empresas del mundo de la tecnología y medios, principalmente en Corea del Sur y Japón. La campaña (y herramientas) que sirve como base a la usada por Icefog no es otra que la que tuvo en el caso del ciber-espionaje contra Microsoft y Apple Mac OS X. Los atacantes toman control directo de las máquinas infectadas durante los ataques: además de Icefog, se ha comprobado la aparición de elementos como puertas traseras incorporadas, lo que les permite realizar movimientos laterales y exfiltración de datos.

Elementos clave que definen estos ataques:

 – Los atacantes confían en técnicas spear-phishing (engañan al usuario con un cebo) y explotan a su vez vulnerabilidades conocidas (p.e. CVE-2012-0158, CVE-2012-1856, CVE-2013-0422 and CVE-2012-1723). Los documentos “cebo” empleados son específicos al interés de cada usuario (de ahí que se considere spear-phishing), por ejemplo, un ataque contra una compañía de medios japonesa empleó el siguiente engaño:

Documento spear-phishing dirigido a una agencia de medios

 – Basándose en los perfiles realizados al objetivo, los atacantes parecen interesarse por los siguientes sectores: militar, construcción de barcos y operaciones marítimas, investigación, operadores de telefonía, operadores de satélite y medios y televisión.

 – La investigación pone sobre el tapete que los “mercenarios” están interesados concretamente en empresas del sector Defensa como Lig Nex1 y Selectron Industrial Company, empresas de la industria naviera como DSME Tech, Hanjin Heavy Industries u operadores de telefonía como Korea Telecom.

 – Los atacantes están secuestrando documentos sensibles y planes empresariales, así como credenciales de cuentas de correo y contraseñas que les permitan acceder a todos los recursos de interés.

 – Durante el proceso está siendo usada la “puerta trasera” de Icefog, también conocida como Fucobha. Kaspersky Labs tiene esta amenaza identificada en sistemas Windows y Mac OS X.

 – Mientras en las habituales campañas de APTs los atacantes procuran mantener los PCs infectados durante meses o incluso años, los operadores de Icefog buscan precisión y rapidez quirúrgicas -localizan, copian algo específico y abandonan el lugar por completo-.

 – Esto es posible porque, en cualquier caso, losa atacantes parecen tener una idea detallada de lo que buscan de cada usuario, como nombres de archivos, que luego transmiten inmediatamente al Centro de Comando y Control.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR