Icefog FAQ

Was genau ist Icefog?

Icefog bezeichnet eine Cyberspionage-Kampagne, die seit mindestens 2011 aktiv ist. Angegriffen werden Regierungsorganisationen, Rüstungsbetriebe, Reedereien, Telefongesellschaften, Satellitenbetreiber, Industriekonzerne und Hightech-Unternehmen sowie Massenmedien vorwiegend in Südkorea und Japan.

Wer sind die Opfer?

Zum gegenwärtigen Zeitpunkt geben wir die Namen der Opfer nicht preis. Kaspersky Lab steht in Kontakt mit den angegriffenen Organisationen sowie mit Regierungsorganisationen, um bei der Identifizierung und Beseitigung der Infektionen zu helfen.

Was ist über die Ziele der Attacken bekannt?

Die Ergebnisse unserer technischen Analyse deuten darauf hin, dass die Angreifer an einer Reihe von Organisationen und Unternehmen interessiert sind, die sich vornehmlich in Südkorea, Taiwan und Japan befinden. Betroffen sind unter anderem Rüstungsunternehmen wie etwa Lig Nex1 und Selectron Industrial Company, Reedereien wie DSME Tech, Hanjin Heavy Industries, Telefonanbieter wie Korea Telecom, Medien wie Fuji TV sowie die Japan-China Economic Association.

Dass die oben genannten Organisationen angegriffen wurden, bedeutet nicht, dass die Attacken auch erfolgreich waren. Kaspersky Lab steht in Kontakt mit den angegriffenen Organisationen sowie mit Regierungsorganisationen, um bei der Identifizierung und Beseitigung der Infektionen zu helfen.

Einer der prominentesten Vorfälle im Zusammenhang mit dieser Bedrohung trug sich im Jahr 2011 zu, als das Japanische Parlament und das House of Councillors infiziert wurden:

http://ajw.asahi.com/article/behind_news/social_affairs/AJ2011102515710

http://phys.org/news/2011-11-dozen-pcs-japanese-offices-trojan.html

Ist die Gesamtzahl der Opfer bekannt?

Wie immer in solchen Fällen, ist es schwierig, die genaue Zahl der Opfer zu bestimmen. Wir sehen nur einen Ausschnitt, d.h. mehrere Dutzend Windows-Opfer und mehr als 350 Opfer unter Mac OS X. Es ist wichtig zu wissen, dass die überragende Mehrheit der Mac OS X-Opfer, und zwar 95%, in China zu finden sind.

Warum Icefog?

Die Bezeichnung “Icefog” beruht auf einem String, der im Namen des Command-and-Control-Servers (C&C) des Schadprogramm-Samples auftaucht, das wir analysiert haben. Wir haben zudem bestätigt, dass der Name der C&C-Software aus dem Chinesischen übersetzt “Dolch Drei” (“尖刀三号”) bedeutet.

Für Martial-Arts-Fans: “尖刀三号” ist so ähnlich wie “三尖刀”, was wiederum eine antike chinesische Waffe ist.

Anmerkung: Ein anderer Name für den in diesen Attacken verwendeten Backdoor lautet “Fucobha”.

Was tut Icefog?

Seinem Wesen nach ist Icefog ein Backdoor, der ein interaktives Spionage-Tool transportiert, das direkt von den Angreifern kontrolliert wird. Der Schädling stiehlt nicht automatisch Daten, sondern wird von den Angreifern manuell gesteuert, um direkte Aktionen auf den infizierten Live-Systemen vorzunehmen. Während einer Icefog-Attacke werden verschiedene andere schädliche Tools und Backdoors für den Quereinstieg und den Datendiebstahl auf die Maschine des Opfers geladen.

Wie infiziert Icefog die Computer?

 

Icefog wird mittels Spear-Phishing-Mails zu den gewünschten Zielen transportiert, die entweder Anhänge oder Links auf schädliche Websites enthalten. Die Angreifer integrieren zudem Exploits zu verschiedenen bekannten Sicherheitslücken (z.B. CVE-2012-1856 und CVE-2012-0158) in Microsoft Word- und Excel-Dokumente. Öffnet das Opfer diese Dateien, so wird ein Backdoor in das System geschleust und ein „Köderdokument“ wird angezeigt.


Lock-Dokument, das dem Opfer bei erfolgreicher Ausführung des Exploits angezeigt wird

Zusätzlich zu den Office-Dokumenten setzen die Angreifer schädliche Websites mit JAVA-Exploits ein (CVE-2013-0422 und CVE-2012-1723) sowie schädliche HWP- und HLP-Dateien.

Anmerkung 1: Oracle hat für beide JAVA-Exploits am 20. Januar 2013 und am 12. Juni 2012 respektive Patches herausgegeben.

Anmerkung 2: “HWP” sind Dokumentendateien, die vom Hangul Word Processor verwendet werden. Laut Wikipedia ist Hangul (auch bekannt als Hangul Word Processor oder HWP) ein proprietäres Textverarbeitungsprogramm des südkoreanischen Unternehmens Hancom Inc.. Es wird extensiv in Südkorea verwendet, insbesondere von der Regierung.

Nutzen die Angreifer irgendwelche Zero-Day-Sicherheitslücken aus?

Wir haben bisher keine Ausnutzung irgendwelcher Zero-Day-Sicherheitslücken feststellen können. Trotzdem können wir die Tatsache nicht vollständig ausschließen, dass ungepatchte Softwarefehler angegriffen werden.

Bei einem der Opfer konnten wir etwas beobachten, was offenbar der Einsatz eines Kernel-Exploits über eine Java-Anwendung zum Zwecke der Rechteerweiterung war, obgleich wir nicht wissen, ob es sich dabei um eine Zero-Day-Schwachstelle gehandelt hat oder nicht, da die Dateien nach Gebrauch von den Angreifern gelöscht wurden.

Handelt es sich um eine reine Windows-Bedrohung? Welche Windows-Versionen werden angegriffen? Gibt es auch Varianten für Mac OS X oder Linux?

Es gibt Icefog-Varianten sowohl für Windows als auch für OS X. Windows-Rechner werden durch gezielte Angriffe des Typs "hit and run" infiziert. Die Angreifer kommen, stehlen, was sie brauchen, und verschwinden wieder. Rechner unter Mac OS X wurden mittels einer anderen Methode infiziert – offenbar im Rahmen einer “Beta-Test”-Phase des Backdoors für Mac OS X.

Gibt es irgendwelche Hinweise auf eine mobile Komponente – iOS, Android oder BlackBerry?

Obwohl wir die Existenz einer Android-Variante vermuten, konnten wir sie bisher nicht nachweisen.

Was passiert, nachdem ein Rechner erfolgreich infiziert wurde?

Nachdem der Backdoor in einen Rechner eingeschleust wurde, funktioniert er als entfernt gesteuerter Trojaner mit vier grundlegenden Cyberspionage-Funktionen:

  • Diebstahl und Upload elementarer Systeminformationen auf die C&C-Server, die von den Angreifern besessen und kontrolliert werden.
  • Möglichkeit für die Angreifer, auf einem infizierten System Befehle zu geben und auszuführen.
  • Diebstahl und Upload von Dateien des Opfers auf die Command-and-Control-Server. Download von Dateien (Tools) von den C&C-Servern auf die infizierten Computer.
  • Möglichkeit der direkten Ausführung von SQL-Befehlen auf allen MSSQL-Servern im Netzwerk.

Was unterscheidet Icefog von anderen APT-Attacken?

Ganz allgemein ist jede APT-Attacke anders und einmalig in ihrer Art. Im Fall von Icefog gibt es allerdings einige charakteristische Merkmale, die die Attacken von andern abheben:

  • Der Fokus liegt ausschließlich auf Zielen in Südkorea und Japan.
  • Der Dateien-Diebstahl ist nicht automatisiert, sondern die Angreifer arbeiten die Opfer eins nach dem anderen ab – sie suchen und kopieren nur ausgewählte Informationen.
  • Web-basierte Command-and-Control-Implementation unter Verwendung von .NET
  • Die Command-and-Control-Server führen Angriffsprotokolle, die jeden einzelnen Befehl enthalten, den die Angreifer gegen ihre Opfer gerichtet haben.
  • Einsatz von HWP-Dokumenten mit Exploits.
  • Mehrere hundert Infektionen von Mac OS X.

Wie sind Sie auf diese Bedrohung gestoßen? Wer hat sie erstmals erwähnt?

Im Juni 2013 erhielten wir ein Sample einer zielgerichteten Attacke gegen Fuji TV. Die Spear-Phishing-Mail enthielt einen schädlichen Anhang, der die Icefog-Malware transportierte. Im Rahmen einer weiterführenden Analyse identifizierten wir andere Varianten sowie mannigfaltige Spear-Phishing-Attacken.

Bei einer Analyse der neuen Attacke wurde klar, dass es sich hier um eine neue Variante der Malware handelte, die im Jahr 2011 das japanische Parlament angegriffen hatte.

In Anbetracht der Bedeutung dieser Attacke entschlossen wir uns, umfassende Ermittlungen in dieser Sache anzustellen.

Wie viele Varianten von Icefog gibt es? Bestehen zwischen den einzelnen Varianten große Unterschiede?

Es gibt eine Vielzahl von Varianten, die im Laufe der Jahre entwickelt wurden. Bei unserer Analyse sind wir auf die folgenden gestoßen:

  • Der „alte” Icefog von 2011, der gestohlene Daten per E-Mail verschickt; diese Version wurde bei dem Angriff auf das japanische Parlament im Jahr 2011 verwendet.
  • Typ “1” Icefog – der “normale” Icefog, der mit einem C&C interagiert.
  • Typ “2” Icefog, der mit einem Proxy zusammenwirkt, der die Befehle der Angreifer umleitet.
  • Typ “3” Icefog, von dem wir kein Sample besitzen. Wir konnten allerdings eine bestimmte Art von C2 beobachten, der eine andere Kommunikationsmethode verwendet; wir vermuten, dass einige Opfer mit dieser Malware infiziert sind.
  • Typ “4” Icefog – gleiche Situation wie bei “Typ 3”
  • Icefog-NG, der über eine direkte TCP-Verbindung zu Port 5600 des C2 kommuniziert.

Sind die von Icefog verwendeten Command-and-Control-Server noch immer aktiv? Konnte irgendeines der C&C durch Sinkholing stillgelegt werden?

Ja, zum gegenwärtigen Zeitpunkt gibt es eine Vielzahl von aktiven Icefog-C&C, mit denen sich die Opfer auch tatsächlich verbinden. Wir konnten zudem einige von Icefog verwendeten Domains mit Hilfe von Sinkholing deaktivieren und Statistiken über die Opfer erstellen. Insgesamt beobachteten wir mehr als 3600 individuelle infizierte IPs und mehrere hundert Opfer. Die vollständigen Sinkhole-Statistiken sind in unserer Icefog-Publikation zu finden.

Was genau wird von den attackierten Rechnern gestohlen?

Die Angreifer stehlen verschiedene Arten von Informationen, unter anderem:

  • Vertrauliche Dokumente und Unternehmenspläne
  • Zugangsdaten zu E-Mail-Konten
  • Passwörter für den Zugriff auf verschiedene Ressourcen innerhalb und außerhalb des Netzwerkes des Opfers

Wird diese Attacke von einem Nationalstaat gesponsert?

Es gibt keine konkreten Beweise dafür, dass diese Operation von einem Nationalstaat gesponsert wird. Die einzige Möglichkeit, gegnerische Gruppen zu identifizieren besteht darin, ihre Motivationen innerhalb der Kampagne zu bestimmen.

APTs können jede Organisation und jedes Unternehmen, das über wertvolle Daten verfügt, zum Ziel haben – egal, ob es sich dabei nun um eine von einem Nationalstaat gesponserte Cyberspionage-/Beobachtungsoperation handelt, oder um eine finanziell motivierte cyberkriminelle Aktion. Basierend auf einer Analyse der Topologie der Opfer ist davon auszugehen, dass die Angreifer die gestohlenen Daten in Geld umwandeln oder sie zu Zwecken der Cyberspionage nutzen.

Der “hit and run”-Charakter dieser Operation ist recht ungewöhnlich. Während die Opfer in anderen Fällen über Monate und sogar Jahre infiziert bleiben und kontinuierlich Daten abgeschöpft werden, so scheinen die Icefog-Angreifer sehr genau zu wissen, was sie von ihren Opfern wollen. Haben sie die entsprechenden Informationen erhalten, so wird von dem Opfer abgelassen.

Im Laufe der letzten Jahre konnten wir eine enorme Zunahme von APTs beobachten, die sich gegen mehr oder minder alle Arten von Opfern und Bereichen richten. Reihum ist das gekoppelt mit deinem zunehmenden Fokus auf vertrauliche Informationen und Wirtschafts-Cyberspionage.

Für die Zukunft sagen wir voraus, dass die Zahl der kleinen, konzentrierten Gruppen wachsen wird, die die Durchführung von APT zum Kauf anbieten und auf „hit-and-run“-Aktionen spezialisiert sind.

Wer ist verantwortlich?

Dementsprechende Informationen über Icefog sind in unserem vertraulichen Bericht zu finden, der unseren Partnern in Regierungs- und Strafverfolgungsorganen zur Verfügung steht.

Gibt es neben den Betroffenen in Japan und Südkorea auch Opfer in anderen Regionen der Welt?

Ja, wir konnten viele Opfer in mehreren anderen Ländern beobachten, unter anderem in Taiwan, Hong Kong, China, USA, Australien, Kanada, Großbritannien, Italien, Deutschland, Österreich, Singapur, Weißrussland und Malaysia. Allerdings glauben wir nicht, dass diese Länderliste die tatsächlichen Interessen der Angreifer widerspiegelt. Einige der Samples wurden über öffentlich zugängliche Websites verbreitet und konnten so willkürliche Opfer aus jedem Land der Welt infizieren. Wir nehmen an, dass die Malware auf diese Weise in verschiedenen Umgebungen ausprobiert und ihre Effizienz getestet werden sollte.

Wie lange sind die Angreifer schon aktiv?

Icefog ist mindestens seit 2011 aktiv und greift in erster Linie Ziele in Südkorea und Japan an. Zu den bekannten Zielen gehören Regierungsinstitutionen, Rüstungsbetriebe, Reedereien, Telefongesellschaften, Industrie- und Hightech-Unternehmen sowie Massenmedien.

Haben die Angreifer interessante/hochentwickelte Technologien verwendet?

Die Command-and-Control-Server sind wegen ihrer intensiven Nutzung von AJAX-Technologien, durch die sie grafisch attraktiv und einfach zu handeln werden, ungewöhnlich. Um ihre Opfer zu attackieren, nutzen die Icefog-Angreifer normalerweise HWP-Dokumente, was eine unübliche und seltene Angriffsform ist, unter anderem weil das HWP-Produkt fast ausschließlich in Korea verwendet wird.

Bei einem der Opfer beobachteten wir offenbar die Verwendung eines Kernel-Exploits durch eine Java-Anwendung zur Rechteerhöhung, obgleich wir nicht wissen, ob es eine Zero-Day-Sicherheitslücke war oder nicht, da die Datei nicht länger verfügbar war.

Detektiert Kaspersky Lab alle Varianten dieser Malware?

Ja, unsere Produkte detektieren und eliminieren alle Varianten dieser Malware:

Backdoor.ASP.Ace.ah
Backdoor.Win32.Agent.dcjj
Backdoor.Win32.Agent.dcwq
Backdoor.Win32.Agent.dcww
Backdoor.Win32.CMDer.ct
Backdoor.Win32.Visel.ars
Backdoor.Win32.Visel.arx
Exploit.MSWord.CVE-2010-3333.cg
Exploit.MSWord.CVE-2010-3333.ci
Exploit.MSWord.CVE-2012-0158.ae
Exploit.MSWord.CVE-2012-0158.az
Exploit.MSWord.CVE-2012-0158.bu
Exploit.MSWord.CVE-2012-0158.u
Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.u
Exploit.WinHLP.Agent.d
Trojan-Downloader.Win32.Agent.ebie
Trojan-Downloader.Win32.Agent.gxmp
Trojan-Downloader.Win32.Agent.gzda
Trojan-Downloader.Win32.Agent.gznn
Trojan-Downloader.Win32.Agent.tenl
Trojan-Downloader.Win32.Agent.vigx
Trojan-Downloader.Win32.Agent.vkcs
Trojan-Downloader.Win32.Agent.wcpy
Trojan-Downloader.Win32.Agent.wqbl
Trojan-Downloader.Win32.Agent.wqdv
Trojan-Downloader.Win32.Agent.wqqz
Trojan-Downloader.Win32.Agent.xrlh
Trojan-Downloader.Win32.Agent.xsub
Trojan-Downloader.Win32.Agent.xyqw
Trojan-Downloader.Win32.Agent.yavh
Trojan-Downloader.Win32.Agent.yium
Trojan-Dropper.Win32.Agent.gvfr
Trojan-PSW.Win32.MailStealer.j
Trojan-Spy.Win32.Agent.bwdf
Trojan-Spy.Win32.Agent.bxeo
Trojan.PHP.Agent.ax
Trojan.Win32.Genome.ydxx
Trojan.Win32.Icefog.*

Gibt es Indicators of Compromise (IOCs), die den Opfern helfen, das Eindringen zu erkennen?

Ja, sie wurden im Rahmen unseres detaillierten Berichts über Icefog veröffentlicht.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.