Найдена хакерская группировка нового типа, атакующая Windows-ПК и компьютеры Apple

Найдена хакерская группировка нового типа, атакующая Windows-ПК и компьютеры Apple

Кибершпионская группа Icefog, охотящаяся за компаниями из Юго-Восточной Азии знаменует появление нового типа киберпреступников: занимающихся точечными атаками под заказ.

Хакерская группировка Icefog ("Ледяной туман"), материалы о деятельности которой раскрыла "Лаборатория Касперского", представляет собой новый тип кибернаемников, говорит антивирусный эксперт Виталий Камлюк.

Это небольшая группа кибершпионов, работающая по контракту с индивидуальным подходом к каждой жертве, в отличие от распространенной практики, при которой документы жертв похищаются массово и без разбора.

Группировка Icefog, названная так экспертами по имени ее собственного командного сервера, предположительно включает в себя участников из Китая, Южной Кореи и Японии. Китайский - основный язык, используемый участниками группировки, встречается как в сообщениях внутри программы и на командном сервере, так и в регистрационных данных доменов. Все хостинг-площадки серверов управления Icefog принадлежат китайским компаниям.

Основными целями группы были компании-подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), предпрития судостроительной отрасли (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, компании телеком-сектора (Korea Telecom), телекомпании (Fuji TV) и Японо-Китайская экономическая ассоциация.

Громким инцидентом с участием Icefog стало заражение двух палат японского парламента в 2011 г.

Помимо жертв в Японии и Южной Корее, целями группировки становились организации на Тайване, в Гонконге, Китае, США, Австралии, Канаде, Великобритании, Италии, Германии, Австрии, Сингапуре, Белоруссии и Малайзии.

Установить точное количество жертв Icefog невозможно, говорит Камлюк. Однако известно, что при точечных атаках были заражены несколько сотен пользователей операционной системы Windows и более 350 пользователей Mac OS X, причем 95% атакованных Mac-пользователей находятся в Китае. Обращения к командным серверам Icefog зафиксированы с более 3600 уникальных IP-адресов.

Целью группировки было похищение внутренних документов, данных учетных записей почты, паролей, списков контактов и содержимого баз данных на взломанных ПК.

В отличие от обычной практики кибершпионов, когда целевые ПК заражаются на продолжительное время, владельцы Icefog обходились нехарактерно быстрым обнаружением и копированием необходимых данных с компьютеров жертв.

Icefog распространяется путем рассылки писем с вредоносными вложениями или со ссылками на вредоносные сайты. Злоумышленники внедряют эксплойты для известных уязвимостей в Microsoft Word и Excel: при открытии соответствующих документов MS Office в систему устанавливается бэкдор, и вместо первоначально открываемого файла пользователю предлагается вредоносный документ.

Помимо документов Office для заражения использовались вредоносные сайты с эксплойтами для ныне закрытых уязвиостей Java и вредоносные файлы для Hangul Word Processor, национального корейского текстового редактора для работы с алфавитом хангыль.

По мнению Камлюка, 350 зараженных Icefog компьютеров под управлением Mac OS X стали площадками для бета-тестирования бэкдора под эту операционную систему. О заражениях компьютеров под управлением Mac OS X в промышленных масштабах "Лаборатория Касперского" не сообщает.

 Примечательно, что всего несколько дней назад Symantec раскрыла данные своих наблюдений за работой хакерской группировки Hidden Lynx, в отдельных проявлениях схожей с Icefog. Так например, хакеры Hidden Lynx, как и создатели Icefog, имеют китайское происхождение, а их кампании кибершпионажа, по мнению экспертов Symantec, как и у разработчиков Icefog, носят точечный и заказной характер.

Группировке Hidden Lynx приписывают авторство операции "Аврора" (Operation Aurora), при которой в 2009 г. были атакованы более 20 крупных технологических компаний, включая Google и Adobe, и взлом подрядчиков минобороны США.

Источник:
CNews.ru