Icefog: новая кибершпионская кампания «по найму»

Когда появляются известия о новой крупномасштабной атаке – направлена ли она на технологическую компанию, государственную организацию или финансовое учреждение – всё внимание обычно сосредотачивается на жертвах и на том, что

Когда появляются известия о новой крупномасштабной атаке – направлена ли она на технологическую компанию, государственную организацию или финансовое учреждение – всё внимание обычно сосредотачивается на жертвах и на том, что могли похитить злоумышленники. Однако, как следует из нового отчёта исследователей «Лаборатории Касперского» о только что обнаруженной долгосрочной кибершпионской операции,  выявленные атаки могут быть лишь отдельными эпизодами длинной серии разнообразных вторжений.

В рамках кампании, получившей название Icefog («Ледяной Туман»), злоумышленники атаковали организации в самом широком диапазоне отраслей в нескольких странах, преимущественно в Японии и Корее. Среди пострадавших – поставщики американских оборонных подрядчиков (например, Lig Nex1, которая производит дисплеи для для американских самолётов F15, кораблестроительные компании,  телеком-операторы и медийные компании.

Методология выбора жертв и манера поведения злоумышленников указывает на то, что они работают по найму, переключаясь с жертвы на жертву так, чтобы получить то, что интересует их заказчиков, и тихо скрыться. По всему видно, что они очень хорошо знают, что именно им нужно каждый раз. В общем и целом, эти хакеры приходят, выкрадывают то, что их интересует, и скрываются. В то время как обычно ресурсы жертв атак могут оставаться заражёнными в течение нескольких месяцев, а то и лет, и данные скрытно выводятся на всём протяжении этого срока, организаторы Icefog предпочитают действовать чисто: как только информация получена, они оставляют ресурсы жертвы, удаляя все следы своего пребывания. Самое короткое время, в течение которого операторы Icefog находились в системах жертв, составляет несколько часов.

Возможные последствия для бизнеса вызывают самое серьёзное беспокойство. Многие компании полагаются на поставщиков, рассеянных по всему миру, и, как правило, не видят, что происходит во внутренних сетях их партнёров, не могут отслеживать операции и не могут проверять, что происходит у подрядчиков ещё более низкого звена.

Пытаясь определить, не были ли ресурсы того или иного партнёра уже скомпрометированы или не являются ли они в настоящее время объектом интереса со стороны хакеров, практически невозможно, что ведёт к общей неопределённости. Наши исследователи подчёркивают, что операторов таких кампаний как Icefog, не волнует размер вашей компании, месторасположение или принадлежность к той или иной отрасли. Если у вас есть то, что им нужно, они найдут способ проникнуть и получить интересующую их информацию – через ваши собственные сети или через ваших партнёров.

Мало того, отслеживание каналов поставок выглядит вполне логичным шагом, поскольку в некоторых случаях проще проникнуть в сети подрядчика, нежели основного производителя.

Эксперт «Лаборатории Касперского» Курт Баумгартнер, который непосредственно участвовал в исследованиях Icefog, отметил, что хакеры часто переключаются с одной организации на другую с виду бессистемно. Эта манера «скакать по лужам»  позволяет выдать хорошо спланированную кампанию за серию разрозненных инцидентов, никак не связанных друг с другом.

«Определить логику атак и увязать их с действиями одной группы оказывается всё сложнее», — заявил Баумгартнер.

Особую тревогу вызывает тенденция появления «кибернаёмников» – организованных групп людей, занятых «заказным» кибершпионажем и кибердиверсиями, по указке, тех, кто платит деньги. В сфере таргетированных атак это что-то новое. Мы ожидаем рост этой тенденции и появления большего количества маленьких групп таких «кибернаёмников», которые будут осуществлять узконаправленные операции в стиле «наскок-отход».

Для коммерческих компаний, которые всегда стремятся снизить риски и избежать утечек информации, необходимость быть начеку теперь уже не ограничивается их внутренним сетевым периметром. Теперь в зоне внимания придётся постоянно удерживать также и каналы поставок, партнёров и всех тех, с кем приходится иметь дело. Риски стали повсеместным явлением, предсказать, куда в следующий раз нанесут удар атакующие, предсказать невозможно.

Советы