קספרסקי חשפה קבוצת האקרים בינלאומית חדשה: "שכירי חרב מקוונים שמתאימים לעולם המודרני"

כאילו לא חסרים האקרים, קספרסקי (Kaspersky) עלתה באחרונה על עקבותיה של קבוצה חדשה של תוקפים: ענקית האבטחה הרוסית חשפה קבוצה של האקרים בשם Icefog, שפועלת במזרח הרחוק ומתמקדת בפגיעה בשרשרת האספקה של חברות מערביות. בחברה טוענים, כי הם עושים זאת בצורה "כירורגית".

מדובר בקבוצה קטנה של האקרים שהחלה את פעילותה ב-2011. חוקרי קספרסקי מעריכים, בהתבסס על רשימת כתובות ה-IP בהן השתמשו התוקפים כדי להשתלט על התשתיות של החברות, שהם פועלים מסין, דרום קוריאה ויפן.

קוסטין ראיו, מנהל מחקר בינלאומי וצוות ניתוח בענקית האבטחה הרוסית, אמר כי "במהלך השנים האחרונות ראינו כמה איומים טורדניים שפוגעים בכמעט כל סוגי הקורבנות והמגזרים. בדרך כלל, התוקף שומר על דריסת רגל בארגון או ברשת הממשלתית במשך שנים ומבריח החוצה טרה-בייטים רבים של נתונים רגישים, אך אופי פעילות ה-'פגע וברח' של מתקפות Icefog מציג מגמה חדשה: חבורות קטנות שמאתרות מידע בדיוק כירורגי". לדבריו, "המתקפה הממוצעת שלהם נמשכת כמה ימים או שבועות ולאחר שהשיגו מה שחיפשו, הם 'מנקים את השטח' ועוזבים".

על פי המחקר, התוקפים חוטפים מסמכים רגישים, תוכניות ארגוניות, הרשאות גישה לדואר אלקטרוני וסיסמאות גישה למשאבים שונים בתוך ומחוץ לרשת המותקפת. במהלך הפעילות, הם השתמשו במערך הדלת האחורית ששמו כשם הקבוצה, Icefog (הוא נקרא גם Fucobha). מעבדת קספרסקי זיהתה גרסאות של Icefog עבור מערכות ההפעלה חלונות (Windows) ו-Mac OS X.

החוקרים ציינו כי "בעוד שברוב פעילויות התקיפה הקורבן נותר פגוע במהלך חודשים או אפילו שנים והתוקפים ממשיכים לגנוב מידע, ההאקרים של Icefog מטפלים בקורבנות באופן ממוקד: מאתרים ומעתיקים רק מידע ייעודי וספציפי. ברגע שהם משיגים את המידע שרצו – הם עוזבים". ראיו כינה את התוקפים חברי הקבוצה החדשה "שכירי חרב מקוונים שמתאימים לעולם המודרני" וחזה כי מספרן של הקבוצות שמשתמשות בשיטות הללו ילך ויגדל.

חוקרי קספרסקי מסרו כי חברי Icefog מתעניינים בעיקר במגזרי הצבא, הפעילות הימית (בכלל זה בניית ספינות), פיתוח המחשבים והתוכנה, חברות מחקר, טלקום, מפעילי לוויינים ותקשורת המונים, בפרט טלוויזיה. בין היתר, הם תקפו קבלנים של תעשיות ביטחוניות כגון Lig Nex 1 וסלקטרון תעשיות, חברות בניית אוניות כגון DSME Tech ו-Hanjin Heavy Industries, חברות טלקום כקוריאה טלקום (Korea Telecom) וחברות תקשורת, בהן הזרוע הטלוויזיונית של פוג'י (Fuji).

בפעילותם פיצחו החוקרים 13 מתוך 70 הדומיינים ששימשו את התוקפים. לדבריהם, שרתי השליטה והפיקוד של Icefog שומרים לוגים מוצפנים של הקורבנות, יחד עם פעולות שונות שהם מבצעים. הלוגים יכולים לפעמים לסייע לזהות את מטרות ההתקפה ובמקרים מסוימים – את הקורבנות.

תוקפי Icefog מיקדו את מתקפותיהם, נוסף על המדינות שמהן פעלו, בטייוואן, ארצות הברית, אוסטרליה, קנדה, איטליה, בריטניה, גרמניה, אוסטריה, סינגפור, בלרוס ומלזיה. בסך הכול, זוהו יותר מ-4,000 כתובות IP שנדבקו וכמה מאות קורבנות – מהם כמה עשרות משתמשי חלונות ויותר מ-350 משתמשי Mac.