Cyberhuurlingen richten zich op diefstal van specifieke bedrijfsinformatie
Een kleine Advanced Persistent Threats-groep (APT-groep) onder de naam Icefog richt zich op doelen in zowel Zuid-Korea als Japan en treft de supply chain van westerse bedrijven. De groep gaat doelgericht op zoek naar informatie en verdwijnt zodra deze informatie is buitgemaakt. De cyberhuurlingen begonnen in 2011 met hun activiteiten en nam in de afgelopen jaren zowel in omvang als reikwijdte toe. Het bedrijf heeft een FAQ opgesteld over de APT-groep.
Dit melden onderzoekers van Kaspersky Lab in een onderzoeksrapport. "In de afgelopen jaren zagen we een aantal APT's aanvallen uitvoeren op vrijwel alle soorten slachtoffers en sectoren. In de meeste gevallen blijven aanvallers jarenlang actief in de door hen aangevallen bedrijfs- en overheidsnetwerken en exfiltreren ze terabytes aan gevoelige informatie”, aldus Costin Raiu, Directeur van het Global Research & Analysis Team.
Hit and run
"De ‘hit and run’ aard van de Icefog-aanvallen toont een nieuwe opkomende trend: kleinere bendes die snel toeslaan en even snel weer verdwijnen en die met een chirurgische precisie op zoek gaan naar specifieke informatie. De aanval duurt meestal een paar dagen of weken en als de gezochte informatie binnen is, elimineren de aanvallers hun sporen en vertrekken ze. We voorspellen voor de toekomst een toename van het aantal kleine, specifieke ’APT-te-huur-groeperingen’ die gespecialiseerd zijn in dergelijke hit-and-run operaties; een soort ‘cyberhuurlingen’ van de moderne tijd", stelt Riau.
De cybercriminelen achter Icefog hebben belangstelling voor de sectoren defensie, scheepsbouw en maritieme operaties, computer- en software-ontwikkeling, onderzoeksbedrijven, telecomaanbieders, satellietaanbieders, massamedia en televisie. De aanvallers richtten hun aanvallen op aannemers uit de defensie-industrie zoals Lig Nex1 en Selectron Industrial Company, scheepsbouwbedrijven als DSME Tech en Hanjin Heavy Industries, telecomaanbieders als Korea Telecom, mediabedrijven als Fuji TV en de Japan-China Economic Association.
Gevoelige documenten en ondernemingsplannen
De aanvallers stelen gevoelige documenten en ondernemingsplannen. Daarnaast hacken zij e-mailaccounts en maken hierdoor zowel gegevens als wachtwoorden buit die toegang bieden tot verschillende bronnen binnen en buiten het netwerk van de doelwitten. De aanvallers maken gebruik van de "Icefog" backdoor set (ook bekend als "Fucobha"), waar de groep dan ook zijn naam aan te danken heeft. Kaspersky Lab identificeerde Icefog-versies voor zowel Microsoft Windows als Mac OS X.
De slachtoffers worden één voor één afgehandeld, waarbij alleen specifieke, doelgerichte informatie wordt gelokaliseerd en gekopieerd. De aanval stopt zodra de gewenste informatie is buitgemaakt. Dit in tegenstelling tot de meeste andere APT-campagnes waarbij slachtoffers maanden- of zelfs jarenlang geïnfecteerd blijven en de aanvallers continu data blijven exfiltreren. De cybercriminelen achter Icefog weten dan ook precies wat ze nodig hebben van de slachtoffers. De aanvallers zoeken naar specifieke bestandsnamen die snel worden geïdentificeerd en overgedragen aan de C&C-server.
