Хакерская группировка нового типа атакует Windows-ПК и компьютеры Apple

Кибершпионская группа Icefog, охотящаяся за компаниями из Юго-Восточной Азии знаменует появление нового типа киберпреступников: занимающихся точечными атаками под заказ.

Хакерская группировка Icefog («Ледяной туман»), материалы о деятельности которой раскрыла «Лаборатория Касперского», представляет собой новый тип кибернаемников, говорит антивирусный эксперт Виталий Камлюк.

Это небольшая группа кибершпионов, работающая по контракту с индивидуальным подходом к каждой жертве, в отличие от распространенной практики, при которой документы жертв похищаются массово и без разбора.

Группировка Icefog, названная так экспертами по имени ее собственного командного сервера, предположительно включает в себя участников из Китая, Южной Кореи и Японии. Китайский - основный язык, используемый участниками группировки, встречается как в сообщениях внутри программы и на командном сервере, так и в регистрационных данных доменов. Все хостинг-площадки серверов управления Icefog принадлежат китайским компаниям.

Основными целями группы были компании-подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), предпрития судостроительной отрасли (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, компании телеком-сектора (Korea Telecom), телекомпании (Fuji TV) и Японо-Китайская экономическая ассоциация.

Громким инцидентом с участием Icefog стало заражение двух палат японского парламента в 2011 г.

Помимо жертв в Японии и Южной Корее, целями группировки становились организации на Тайване, в Гонконге, Китае, США, Австралии, Канаде, Великобритании, Италии, Германии, Австрии, Сингапуре, Белоруссии и Малайзии.


Фишинговый документ, загружаемый на компьютер жертвы после исполнения эксплойта                                            Фишинговый документ, загружаемый на компьютер жертвы после исполнения эксплойта


Установить точное количество жертв Icefog невозможно, говорит Камлюк. Однако известно, что при точечных атаках были заражены несколько сотен пользователей операционной системы Windows и более 350 пользователей Mac OS X, причем 95% атакованных Mac-пользователей находятся в Китае. Обращения к командным серверам Icefog зафиксированы с более 3600 уникальных IP-адресов.

Целью группировки было похищение внутренних документов, данных учетных записей почты, паролей, списков контактов и содержимого баз данных на взломанных ПК.

В отличие от обычной практики кибершпионов, когда целевые ПК заражаются на продолжительное время, владельцы Icefog обходились нехарактерно быстрым обнаружением и копированием необходимых данных с компьютеров жертв.

Icefog распространяется путем рассылки писем с вредоносными вложениями или со ссылками на вредоносные сайты. Злоумышленники внедряют эксплойты для известных уязвимостей в Microsoft (Вопросы и ответы по Office 365) Word и Excel: при открытии соответствующих документов MS Office в систему устанавливается бэкдор, и вместо первоначально открываемого файла пользователю предлагается вредоносный документ.

Помимо документов Office для заражения использовались вредоносные сайты с эксплойтами для ныне закрытых уязвиостей Java и вредоносные файлы для Hangul Word Processor, национального корейского текстового редактора для работы с алфавитом хангыль.

По мнению Камлюка, 350 зараженных Icefog компьютеров под управлением Mac OS X стали площадками для бета-тестирования бэкдора под эту операционную систему. О заражениях компьютеров под управлением Mac OS X в промышленных масштабах «Лаборатория Касперского» не сообщает.

Еще интересное

Корпорация Google удалила из магазина приложений для браузера Chrome два расширения с нежелательной рекламой.
Депутаты городской Думы Москвы требуют ввести норму об ответственности за «крамольные высказывания» в Интернете о государственной политике.
Торрент-трекер RuTracker.org перестал работать 31 марта из-за продолжительной DDoS-атаки. Работоспособность сайта была восстановлена 1 апреля, но уже 5 апреля, в субботу, кибер-атака продолжилась. На момент написания новости сайт не доступен.
Миллионы пользователей Android загрузили новую троянскую программу под видом законного приложения прямо с Google Play, сообщает исследователь Lookout Марк Роджерс
Торговое представительство США (USTR) опубликовало обзор по секции 1377, в котором перечисляет случаи возможных нарушений отдельными странами международных торговых соглашений. Информация для обзора приходит из разных источников, в том числе от коммерческих компаний и посольств в иностранных государствах. За последний год четыре жалобы поступили из частного сектора и одна — от иностранного правительства.

Университет в США провёл исследование с целью выяснить, насколько просто при помощи современных технологических решений похитить четырёхзначный пароль, которым защищают гаджеты. Об этом сообщил Huffington Post.