Kaspersky Lab ha publicado un informe detallado sobre Icefog, una sofisticada campaña de espionaje cibernético que tiene como blanco organizaciones de alto perfil, principalmente de Corea del Sur y Japón. El nombre de esta amenaza persistente avanzada (APT) proviene de una cadena utilizada en el nombre de un servidor C&C de una muestra de malware.
Según Kaspersky, contratistas militares, organizaciones gubernamentales, operadores de telecomunicaciones, grupos marítimos y de construcción naval, medios de comunicación, empresas industriales y de alta tecnología y operadores de satélites han sido atacados desde 2011.
Entre las organizaciones afectadas, Kaspersky ha mencionado Lig Nex1, DSME Tech, Fuji TV, Korea Telecom, Selectron Industrial Company, el Parlamento japonés y la Asociación Económica de Japón y China.
Lo interesante acerca de la campaña Icefog es que los ciberdelincuentes parecen saber exactamente lo que quieren de sus víctimas. Ellos se infiltran en los sistemas, buscan los datos que les interesan y los roban. Una vez hecho esto, el blanco es abandonado.
Los ataques comienzan con correos electrónicos de spear phishing que contienen archivos adjuntos o enlaces a sitios web maliciosos. Los archivos adjuntos a los correos electrónicos son documentos de Microsoft Word y Excel diseñados maliciosamente que explotan varias vulnerabilidades conocidas en un esfuerzo por infiltrar un malware en los sistemas dirigidos.
Además, también se utilizan exploits de Java, archivos maliciosos del procesador de textos Hangul y archivos HLP. Los investigadores no han visto ninguna vulnerabilidad día cero explotada en la campaña.
Una vez que el malware Icefog infecte una máquina, comienza a subir información básica del sistema a los servidores de comando y control. La puerta trasera permite a los atacantes ejecutar comandos y descargar las herramientas adicionales necesarias para robar la información que estén buscando.
Cabe destacar que los ciberdelincuentes están procesando manualmente cada víctima. El proceso de robo de datos no está automatizado como en muchas otras campañas de APT. En la mayoría de los casos, buscan documentos sensibles y planes de la empresa, credenciales de cuentas de correo electrónico y contraseñas de acceso a diversos recursos.
Seis variantes del malware Icefog han sido descubiertas hasta ahora. Las amenazas están dirigidas tanto a máquinas con Windows como con Mac OS X. Es difícil determinar el número exacto de víctimas. Sin embargo, los investigadores han encontrado más de 350 víctimas de Mac OS X y varias docenas de víctimas de Windows.
Aunque la mayoría de las víctimas son de Japón y Corea del Sur, también se han detectado algunas infecciones en Taiwán, Hong Kong, China, Estados Unidos, Australia, Canadá, Italia, Austria, Alemania, el Reino Unido, Bielorrusia, Malasia y Singapur.
Kaspersky dice que no hay ninguna evidencia concreta de que un estado-nación estaría detrás de la campaña y no han nombrado públicamente a ningún posible autor de la campaña. Sin embargo, la empresa está ofreciendo alguna información al Gobierno y las agencias de seguridad en un informe privado.
Actualmente, la campaña está todavía activa.
Un informe completo sobre Icefog está disponible en el sitio web de Kaspersky http://www.securelist.com/en/downloads/vlpdfs/icefog.pdf .
http://news.softpedia.es/Los-ciberdelincuentes-detras-de-Icefog-lanzan-ataques-contra-organizaciones-de-alto-perfil-386320.html