Aktuelles, Branche - geschrieben von cp am Donnerstag, September 26, 2013 9:36 - noch keine Kommentare
„Icefog“: Neue Cyberspionage-Kampagne attackiert Lieferketten
Kleine, überfallartig zuschlagende Gruppen führen präzise Operationen aus
[datensicherheit.de, 26.09.2013] Kaspersky Lab veröffentlicht eine Analyse über die Entdeckung von „Icefog“ [1], einer kleinen, aber sehr dynamischen APT-Gruppe [2] für zielgerichtete Attacken, die es auf Objekte in Südkorea und Japan abgesehen hat – mit dem Zweck, Lieferketten von westlichen Firmen zu zerschlagen. Die Operation begann im Jahr 2011 und hat sich anschließend immer weiter ausgebreitet.
„In den vergangenen Jahren haben wir zahlreiche APT-Attacken gesehen, die es auf alle möglichen Ziele und Branchen abgesehen haben. Meistens erhielten die Angreifer dadurch jahrelangen Zugang zu Netzwerken von Unternehmen oder Regierungsorganisationen und konnten kritische Informationen im Terabyte-Bereich abgreifen“, so Costin Raiu, Director, Global Research & Analysis Team bei Kaspersky Lab. „Die Angriffe von Icefog erfolgten überfallsartig. Wir sehen daher folgenden Trend: Kleine überfallartig zuschlagende Gruppen zielen mit chirurgischer Präzision auf Informationen ab. Diese Attacken erfolgen über mehrere Tage oder Wochen; nachdem die Angreifer, das bekommen haben, was sie suchen, verwischen sie ihre Spuren und ziehen sich zurück. Wir erwarten künftig weitere kleine, für APT-Angriffe angeheuerte Gruppen, die sich auf überfallartige Operationen spezialisiert haben. Man könnte diese auch mit Cybersöldnern in einer modernen Welt vergleichen.“
Die wichtigsten Befunde der Kaspersky-Analyse zu „Icefog“ sind:
- Basierend auf Profilen der bekannten Ziele, haben es die Angreifer offenbar auf folgende Bereiche abgesehen: Militär, Schiffsbau und maritime Operationen, Computer- und Softwareentwicklung, Forschungseinrichtungen, Telekommunikationsbetreiber, Satellitenbetreiber, Massenmedien und TV-Anbieter.
- Es gibt Hinweise darauf, dass die die Attacken auf Unternehmen in der Rüstungsindustrie wie Lig Nex 1 und Selectron Industrial Company, Schiffsbaufirmen wie DSME Tech, Hanjin Heavy Industries, Telekommunikationsbetreiber wie Korea Telecom, Medienunternehmen wie Fuji TV und Organisationen wie die Japan-China Economic Association abzielten.
- Die Angreifer konnten unternehmenskritische Daten, E-Mail-Account-Daten sowie Passwörter entwenden, die Zugang zu verschieden Ressourcen inner- und außerhalb der Netzwerke der Opfer gewähren.
- Während der Operation nutzten die Angreifer das „Icefog“-Backdoor-Set (auch als „Fucobha“ bekannt). Kaspersky Lab identifizierte Icefog-Versionen für Microsoft Windows und für Mac OS X.
- Bei den meisten APT-Kampagnen bleiben die Opfer über Monate oder Jahre hinweg infiziert und die Angreifer saugten kontinuierlich Daten ab. Die Icefog-Gruppe hingegen nimmt sich ein Opfer nach dem anderem vor. Dabei lokalisieren und kopieren die Hintermänner zielgerichtet nur spezielle Informationen. Haben sie die gewünschte Information erhalten, ziehen sie sich zurück.
- In den meisten Fällen schienen die „Icefog“-Angreifer genau zu wissen, was sie von welchen Opfern benötigen. Sie haben nach speziellen Dateinamen gesucht, die schnell identifiziert und zu einem C&C-Server transferiert wurden.
Mehr Mac- als Windows-Opfer
Die Kaspersky-Experten haben 13 von mehr als 70 Domains, die von den Angreifern genutzt wurden, auf ein Sinkhole umgeleitet. Damit konnten Statistiken über die Zahl der Opfer weltweit erstellt werden. Zusätzlich erhalten die von Icefog genutzten C&C-Server verschlüsselte Log-Daten der Opfer in Kombination mit Informationen zu verschiedenen Operationen, die von den Angreifern ausgeübt wurden. Über diese Log-Daten können zum Teil die Ziele der Attacken und in machen fällen auch die Opfer identifiziert werden. Neben Japan und Südkorea wurden mehrere Sinkhole-Verbindungen zu verschiedenen anderen Ländern festgestellt, zum Beispiel Deutschland und Österreich sowie Taiwan, Hong Kong, China, USA, Australien, Kanada, Großbritannien, Italien, Singapur, Weißrussland und Malaysia. Insgesamt konnte Kaspersky Lab mehr als 4.000 individuelle, infizierte IP-Adressen und mehrere hundert Opfer ausmachen – davon einige Dutzend Windows- und mehr als 350 Mac OS X Opfer.
Basierend auf einer IP-Liste, die zur Beobachtung und Kontrolle der Infrastruktur genutzt wurde, gehen die Kaspersky-Experten davon aus, dass einige der Hintermänner von „Icefog“ in den folgenden drei Ländern sitzen: China, Südkorea und Japan.
Weitere Informationen zum Thema_
[1] http://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers
[2] APT bedeutet Advanced Persistent Threat und ist mit einem komplexen, zielgerichteten und effektiven Cyberangriff gleichzusetzen:
Aktuelles, Experten - Dez 10, 2024 10:36 - noch keine Kommentare
vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
weitere Beiträge in Experten
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
Aktuelles, Branche, Studien - Dez 9, 2024 13:38 - noch keine Kommentare
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
weitere Beiträge in Branche
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren