Die kybernetischen Kampfmittel |
Die kybernetischen Waffen |
Aufklärungs und Spionagewaffen |
Icefog |
- Häufig gestellte Fragen |
- Presseinformation (2) |
- ... |
- ... |
- ... |
Die Icefog APT: Häufig gestellte Fragen
Von GReAT am 26. September 2013 03.03 Uhr
Publikationen
Tweet
APT CYBER-SPIONAGE KEYLOGGER GEZIELTE ANGRIFFE SCHWACHSTELLEN UND
EXPLOITS ZERO-DAY-SCHWACHSTELLEN
Hier finden Sie Antworten auf die am häufigsten gestellten Fragen im
Zusammenhang mit Icefog, einem APT Betrieb Zieleinheiten in Japan und Südkorea.
Was genau ist Icefog?
Icefog bezieht sich auf einen Cyber-Spionage-Kampagne, die aktiv ist mindestens seit 2011 Es zielt auf Regierungseinrichtungen, militärische Auftragnehmer, See-und Schiffsbau-Gruppen, Telekommunikationsbetreiber, Satellitenbetreiber, Industrie-und Hochtechnologieunternehmen und Massenmedien, vor allem in Süd- Korea und Japan. Es ist wahrscheinlich, dass die Besatzung richtet Organisationen in der westlichen Welt als gut, wie die USA und Europa.
Wer sind die Opfer?
Im Moment sind wir nicht die Offenlegung der Namen der Opfer. Kaspersky Lab ist in Kontakt mit den Ziel Organisationen sowie Regierungsbehörden, um zu helfen, sie zu identifizieren und zu beseitigen, die Infektionen.
Was können Sie über die Ziele der Angriffe zu sagen?
Unsere technischen Forschung zeigt, die Angreifer waren daran interessiert,
zielt auf eine Reihe von Unternehmen, vor allem in Süd-Korea, Taiwan und
Japan. Dazu zählen Verteidigungsindustrie Auftragnehmer wie Lig Nex1 und
Selectron Industrial Company, Schiffbau-Unternehmen wie DSME Tech, Hanjin Heavy
Industries, Telekom-Betreiber wie Korea Telecom, Medien-Unternehmen wie Fuji-TV
und der Japan-China Economic Association.
Die Tatsache, dass die Organisationen, oben, wurden gezielt nicht die Angriffe
nicht, waren ebenfalls erfolgreich. Kaspersky Lab ist in Kontakt mit den Ziel
Organisationen sowie Regierungsbehörden, um zu helfen, sie zu identifizieren und
zu beseitigen, die Infektionen.
Einer der prominentesten Vorfälle, die diese Bedrohung Schauspieler beteiligt
erfolgte im Jahr 2011, wenn die japanischen Repräsentantenhaus und der Haus der
Räte infiziert waren
Kennen wir die Gesamtzahl der Opfer?
Wie üblich, ist es schwierig,-s eine genaue Schätzung der Zahl der Opfer zu bekommen. Wir sehen nur ein Teil der vollen Bild, das mehrere Dutzend Windows-Opfern und mehr als 350 Mac OS X Opfer zeigt. Es ist wichtig, darauf hinzuweisen, dass die überwiegende Mehrheit der Mac OS X-Opfer (95%) sind in China.
Warum nennen Sie es Icefog?
Der Name "Icefog" kommt von einem String in der Kommando-und Kontrollserver (C &
C) Namen von einem der Malware-Proben, die wir analysiert eingesetzt. Wir haben
auch bestätigt, dass die C & C-Software namens "Dolch Drei" ("尖刀 三号"), wenn
übersetzt von der chinesischen Sprache.
Für den Kampfsport-Fans ", 尖刀三号" ist ähnlich wie "三尖刀", die eine alte
chinesische Waffe ist.
Hinweis: Ein anderer Name für die Hintertür in dieser Angriffe verwendet wird,
ist "Fucobha".
Was bedeutet Icefog tun?
In seinem Kern ist Icefog ein Backdoor, die als interaktive Spionagewerkzeug, das direkt von den Angreifern kontrolliert wird, dient. Es nicht automatisch Daten exfiltrate sondern wird manuell von den Angreifern betrieben werden, um Maßnahmen, die direkt auf den infizierten lebenden Systemen durchzuführen. Während Icefog Angriffe werden mehrere andere schädliche Tools und Backdoors der Opfer Maschinen für die seitliche Bewegung und Daten Exfiltration hochgeladen.
Wie funktioniert Icefog Computer infizieren?
Icefog wird, um Ziele über Speer-Phishing-E-Mails, die entweder können Anhänge
oder Links zu bösartigen Websites verteilt. Die Angreifer einbetten Exploits für
verschiedene bekannte Schwachstellen (zB. CVE-2012 bis 1856 und CVE-2012 bis
0158) in Microsoft Word und Excel-Dokumente. Sobald diese Dateien werden von der
Ziel geöffnet wird, wird eine Hintertür in das System getropft und ein Köder
Dokument wird dann an das Opfer zeigte.
Locken Dokument an die Opfer nach der erfolgreichen Ausführung des Exploits
gezeigt.
Neben den Office-Dokumente, die Angreifer nutzen bösartige Seiten mit
JAVA-Exploits (CVE-2013 bis 0422 und CVE-2012 bis 1723) und bösartigen HWP und
HLP-Dateien.
Hinweis 1: Oracle hatte die Patches veröffentlicht sowohl für JAVA nutzt auf 20.
Januar 2013 und 12. Juni 2012 auf.
Hinweis 2: "HWP" sind Dokument-Dateien von Hangul Word Processor verwendet. Laut
Wikipedia Hangul (auch als Hangul Word Processor oder HWP) ist ein von der
südkoreanischen Firma Hancom Inc. Es wird weitgehend in Südkorea eingesetzt
veröffentlicht proprietären Textverarbeitungsprogramm, vor allem durch die
Regierung.
Sind die Angreifer mit keine Zero-Day-Schwachstellen?
Wir haben nicht die Verwendung von Zero-Day-Schwachstellen gestoßen. Wir können
jedoch nicht vollständig ausgeschlossen werden, dass ungepatchte
Sicherheitslücken in Software kann gezielt werden.
Auf eines der Opfer, beobachteten wir, was es schien die Verwendung eines Kernel
Exploit durch eine Java-Anwendung für das, was es schien, zu einer Eskalation
der Privilegien sein, obwohl wir nicht wissen, ob es eine Zero-Day-oder nicht,
wie die Datei von den Angreifern nach Gebrauch gelöscht.
Ist das eine reine Windows-Drohung? Welche Versionen von Windows werden
gezielt? Gibt es Mac OS X oder Linux-Varianten?
Es gibt sowohl Windows und OS X Varianten Icefog. Die Windows-Maschinen werden
durch "hit and run" gezielten Angriffen infiziert. Die Angreifer kommen,
stehlen, was sie wollen und gehen. Die Mac OS X-Maschinen wurden durch eine
andere Methode in was schien, ein "Beta-Testphase" des Mac OS X Hintertür sein
infiziert.
Haben Sie irgendwelche Anzeichen einer mobilen Komponente v iOS, Android oder
Blackberry gesehen?
Obwohl wir vermuten eine mögliche Android-Variante, wir haven-t in der Lage
gewesen, um es noch zu finden.
Was passiert nach einem Zielrechner infiziert ist?
Sobald die Hintertür wird auf die Maschine fallen gelassen, es funktioniert wie
ein ferngesteuertes Trojan mit vier Grund Cyber-Spionage-Funktionen:
Entführt und Uploads Grundinformationen zum System, um C & C-Servern gehört und
von den Angreifern kontrolliert.
Ermöglicht es, die Angreifer auf dem infizierten System zu schieben und Befehle.
Stehlen und Upload von Dateien von den Opfern zu den
Command-and-Control-Server.
Downloads Dateien (Werkzeuge) aus den C & C-Server auf den infizierten
Computern.
Ermöglicht die Angreifer direkt SQL-Befehle auf allen MSSQL-Server im Netzwerk.
Wie unterscheidet sich von jedem anderen APT-Angriff?
In der Regel ist jede APT-Angriff anders und einzigartig in seinen eigenen
Stil. Im Falle der Icefog, gibt es bestimmte charakteristische Merkmale, die es
abgesehen:
Konzentrieren sich fast ausschließlich auf Südkorea und Japan Ziele.
Diebstahl-Dateien ist nicht automatisiert, sondern die Angreifer sind
Verarbeitungs Opfer einer nach dem anderen - sie suchen und kopieren Sie nur
relevante Informationen.
Web-basierte Kommando-und Kontroll Implementierung mit .NET.
Kommando-und Kontrollprotokolle zu erhalten volle Attacke mit jedem einzelnen
Befehl ausgeführt von den Angreifern auf ihre Opfer gefüllt.
Verwendung von HWP-Dokumente mit Exploits.
Mehrere hundert Mac OS X-Infektionen.
Wie sind Sie sich dieser Gefahr bewusst? Die berichteten, es?
Im Juni 2013, einen gezielten Angriff Probe gegen Fuji TV erhalten wir. Der
Speer-Phishing-E-Mail enthielt einen bösartigen Anhang, der die Icefog Malware
gesunken. Bei der weiteren Analyse identifizierten wir andere Varianten und
Mehrfach Speer-Phishing-Attacken.
Während die Analyse der neuen Angriff, wurde es offensichtlich, das war eine
neue Version der Malware, die das japanische Parlament im Jahr 2011
angegriffen . Sichts der Bedeutung des Angriffs, haben wir beschlossen, eine
gründliche Untersuchung zu tun.
Wie viele Varianten von Icefog gibt es? Gibt es große Unterschiede in den Varianten?
Es gibt mehrere Varianten, die in den Jahren erstellt wurden. Während unserer
Analyse haben wir festgestellt:
Die "alte" 2011 Icefog - die gestohlenen Daten per E-Mail sendet; Diese Version
wurde gegenüber dem japanischen Parlament im Jahr 2011 verwendet.
Geben Sie "1" "normal" Icefog - die mit C2-s interagiert.
Geben Sie "2" Icefog -, die mit einem Proxy, der Befehle von den Angreifern
leitet interagiert.
Geben Sie "3" Icefog - wir don-t haben eine Probe, aber wir beobachten eine
bestimmte Art von C2, die eine andere Kommunikationsmethode verwendet; wir
vermuten, es gibt Opfer, die diese Malware haben.
Typ "4" Icefog - gleiche Situation als "Typ 3".
Icefog -NG -, die durch direkte TCP-Verbindung auf Port 5600 der C2
kommuniziert.
Ist die Kommando-und Kontrollserver von Icefog verwendet immer noch aktiv?Haben
Sie in der Lage, eine der C & Cs Sinkhole gewesen?
Ja, es gibt mehrere aktive Icefog C & C-S im Moment mit Live Opfer verbindet
sie. Wir waren auch in der Lage, mehrere Domains von Icefog verwendet Sinkhole
und Statistiken über die Opfer. Insgesamt beobachteten wir mehr als 3600
einzigartige infizierte IPs und mehrere hundert Opfer. Die vollständigen Doline
Statistiken sind in unserem Icefog Papier.
Was genau wird von den Zielmaschinen gestohlen?
Die Angreifer stehlen verschiedene Arten von Informationen, einschließlich:
Sensible Dokumente und Unternehmensplänen.
E-Mail-Konto-Anmeldeinformationen.
Passwörter für verschiedene Ressourcen zugreifen innerhalb und außerhalb der
Opfer-s Netzwerk.
Ist das ein Nationalstaat gesponserte Angriff?
Es gibt keine konkreten Beweise, um zu bestätigen das war ein Nationalstaat
gefördert Betrieb. Die einzige Möglichkeit, Gegner Gruppen unterscheiden, ist
durch die Ermittlung ihrer Motivationen im Rahmen der Kampagne.
APTs kann jede Organisation oder Unternehmen wertvolle Daten gezielt, ob es ein
Nationalstaat gefördert Cyber-Spionage / Überwachungsoperation oder eine
finanziell motivierte Cyber-kriminellen Betrieb sein. Basierend auf der Analyse
und der Topologie von Opfern, konnte die Angreifer sein Umwandlung gestohlenen
Daten in Geld oder ihn für Cyber-Spionage Zwecke.
Der "hit and run" Natur dieser Operation ist eines der Dinge, die es
ungewöhnlich zu machen. Während in anderen Fällen bleiben die Opfer für Monate
oder sogar Jahre infiziert und Daten kontinuierlich exfiltrated, erscheinen die
Icefog Angreifer sehr gut, was sie von den Opfern müssen wissen. Sobald die
Informationen erhalten hat, wird das Opfer aufgegeben.
In den vergangenen Jahren konnten wir eine starke Zunahme in der Anzahl der APTs
die so ziemlich Schlagen alle Arten von Opfer und Sektoren. Im Gegenzug wird
dies mit einem erhöhten Fokus auf sensible Informationen und Unternehmens
Cyber-Spionage gekoppelt.
In der Zukunft erwarten wir die Zahl der kleinen, konzentrierten APT-to-hire
Gruppen zu wachsen, spezialisiert auf Hit-and-run-Operationen.
Wer ist verantwortlich?
Namensnennung Informationen über Icefog ist durch unsere privaten Bericht für
Regierung und den Strafverfolgungspartner zur Verfügung zur Verfügung.
Zusätzlich zu Japan und Südkorea, gibt es Opfer in einem anderen geografischen
Standort?
Ja, viele Opfer beobachteten wir in einigen anderen Ländern, darunter Taiwan,
Hong Kong, China, USA, Australien, Kanada, Großbritannien, Italien, Deutschland,
Österreich, Singapur, Weißrussland und Malaysia. Wir glauben jedoch, dass diese
Liste von Ländern möglicherweise nicht die wahre Interesse der Angreifer
darstellen. Einige der Proben wurden über öffentlich zugängliche Webseiten
verteilt und konnte zufällige Opfer von jedem Land der Welt zu schlagen. Wir
glauben, dass getan wurde, um die Malware in verschiedenen Umgebungen zu
untersuchen und testen ihre Leistungsfähigkeit.
Wie lange haben die Angreifer aktiv gewesen?
Icefog aktiv war mindestens seit 2011 gezielt meist Südkorea und Japan. Bekannte
Ziele sind staatliche Institutionen, Militärfirmen, maritime / Schiffbau
Gruppen, Telekom-Betreiber, Industrie-und Hochtechnologieunternehmen und
Massenmedien.
Haben die Angreifer verwenden einige interessante / fortgeschrittenen
Technologien?
Die Kommando-und Kontroll sind ungewöhnlich in ihrem umfangreichen Gebrauch von
AJAX-Technologien, so dass sie grafisch verlockend und einfach zu
bedienen. Opfer anzugreifen, verwendet die Icefog Angreifer häufig HWP
Dokumente, die eine ungewöhnliche und seltene Form des Angriffs sind, teils,
weil die HWP Produkt wird fast ausschließlich in Korea verwendet.
Ein eines der Opfer, beobachteten wir, was es schien die Verwendung eines Kernel
Exploit durch eine Java-Anwendung für eine Eskalation der Privilegien sein,
obwohl wir nicht wissen, ob es eine Zero-Day-oder nicht, wie die Datei nicht
mehr zur Verfügung .
Hat Kaspersky Lab erkennen alle Varianten dieser Malware?
Ja, unsere Produkte zu erkennen und zu beseitigen alle Varianten der Malware in
dieser Kampagne verwendet:
Backdoor.ASP.Ace.ah
Backdoor.Win32.Agent.dcjj
Backdoor.Win32.Agent.dcwq
Backdoor.Win32.Agent.dcww
Backdoor.Win32.CMDer.ct
Backdoor.Win32.Visel.ars
Backdoor.Win32.Visel.arx
Exploit.MSWord.CVE-2010-3333.cg
Exploit.MSWord.CVE-2010-3333.ci
Exploit.MSWord.CVE-2012-0158.ae
Exploit.MSWord.CVE-2012-0158.az
Exploit.MSWord.CVE-2012-0158.bu
Exploit.MSWord.CVE-2012-0158.u
Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.u
Exploit.WinHLP.Agent.d
Trojan-Downloader.Win32.Agent.ebie
Trojan-Downloader.Win32.Agent.gxmp
Trojan-Downloader.Win32.Agent.gzda
Trojan-Downloader.Win32.Agent.gznn
Trojan-Downloader.Win32.Agent.tenl
Trojan-Downloader.Win32.Agent.vigx
Trojan-Downloader.Win32.Agent.vkcs
Trojan-Downloader.Win32.Agent.wcpy
Trojan-Downloader.Win32.Agent.wqbl
Trojan-Downloader.Win32.Agent.wqdv
Trojan-Downloader.Win32.Agent.wqqz
Trojan-Downloader.Win32.Agent.xrlh
Trojan-Downloader.Win32.Agent.xsub
Trojan-Downloader.Win32.Agent.xyqw
Trojan-Downloader.Win32.Agent.yavh
Trojan-Downloader.Win32.Agent.yium
Trojan-Dropper.Win32.Agent.gvfr
Trojan-PSW.Win32.MailStealer.j
Trojan-Spy.Win32.Agent.bwdf
Trojan-Spy.Win32.Agent.bxeo
Trojan.PHP.Agent.ax
Trojan.Win32.Genome.ydxx
Trojan.Win32.Icefog. *
Gibt es Indikatoren der Kompromiss (IOC) zu helfen, die Opfer identifizieren die
Intrusion?
Ja, diese als Teil unserer freigegeben ausführlichen Bericht über Icefog .
https://securelist.com/analysis/publications/57892/the-icefog-apt-häufig
gestellte-questions/