Icefog APT: Preguntas más frecuentes

Aquí están las respuestas a las preguntas más frecuentes relacionadas con Icefog, una operación APT contra organizaciones en Japón y Corea del Sur.

¿Qué es exactamente Icefog?

Icefog es una campaña de ciberespionaje que está activa desde, al menos, 2011. Ataca instituciones gubernamentales, contratistas militares, grupos marítimos y astilleros, operadores de telecomunicaciones, operadores de satélites, compañías industriales y de alta tecnología, y medios de comunicación, especialmente en Corea del Sur y Japón. Es posible que los cibercriminales responsables de Icefog también ataquen a organizaciones en el mundo occidental, como Estados Unidos y Europa.

¿Quiénes son sus víctimas?

Por el momento, no vamos a revelar los nombres de las víctimas. Kaspersky Lab se mantiene en contacto con las organizaciones atacadas y con organismos gubernamentales para ayudarlos a identificar y erradicar las infecciones.

¿Qué se sabe sobre los blancos de los ataques?

Nuestro análisis técnico revela que los atacantes estaban interesados en varias organizaciones, especialmente en Corea del Sur, Taiwán y Japón, entre las que se encontraban contratistas militares, como Lig Nex1 y Selectron Industrial Company, compañías de astilleros como DSME Tech y Hanjin Heavy Industries, operadores de telecomunicaciones, como Korea Telecom, medios de comunicación como Fuji TV, y Japan-China Economic Association.

El hecho de que estas organizaciones fueran los blancos de los ataques, no significa que los atacantes lograran su cometido. Kaspersky Lab se mantiene en contacto con las organizaciones atacadas y con organismos gubernamentales para ayudarlos a identificar y erradicar las infecciones.

Uno de los incidentes más notables que involucraron esta amenaza sucedió en 2011, cuando se infectaron los sistemas de la Cámara de Representantes y de la Cámara de Consejeros de Japón.

¿Se sabe el número total de víctimas?

Como suele suceder, resulta difícil obtener un estimado exacto de la cantidad de víctimas. Sólo podemos ver una fracción del cuadro completo, que muestra varias decenas de víctimas Windows y más de 350 víctimas Mac OS X. Es importante señalar que la gran mayoría de las víctimas Mac OS X (95%) están en China.

¿Por qué se llama Icefog?

El nombre “Icefog” proviene de un hilo que se usa en el nombre del servidor de comando y control (C&C) de uno de los programas maliciosos que analizamos. También confirmamos que el software del C&C se llama “Dagger Three” ("尖刀三号"), o Daga Tres, por su traducción del chino.

Para los aficionados a las artes marciales, "尖刀三号"es similar a "三尖刀", que es una antigua arma china.

Nota: Otro nombre para el troyano puerta trasera utilizado en estos ataques es “Fucobha”.

¿Qué hace Icefog?

En esencia, Icefog es un troyano puerta trasera que funciona como una herramienta interactiva de espionaje controlada directamente por los atacantes. No roba información de forma automática sino que los atacantes la manipulan para ejecutar acciones directamente en los sistemas vivos infectados. Durante los ataques de Icefog, se descargan varias otras herramientas maliciosas y troyanos puerta trasera en el equipo del usuario atacado para movimientos laterales y robo de información.

¿Cómo se infectan los ordenadores con Icefog?

Icefog llega a sus blancos mediante mensajes de correo spear-phishing que pueden contener adjuntos o enlaces a sitios web maliciosos. Los atacantes incrustan exploits para varias vulnerabilidades conocidas, Como CVE-2012-1856 y CVE-2012-0158, en documentos Microsoft Word y Excel. Una vez que la víctima abre estos archivos, un troyano puerta trasera penetra en el sistema, mientras que a la víctima se le muestra un documento señuelo.

Documento señuelo que se le muestra a la víctima cuando el exploit se ejecuta con éxito

Además de documentos de Office, los atacantes recurren a páginas web maliciosas con exploits JAVA (CVE-2013-0422 y CVE-2012-1723) y archivos maliciosos HWP y HLP.

Nota 1: Oracle publicó los parches para ambos exploits JAVA el 20 de enero de 2013 y 12 de junio de 2012, respectivamente.

Nota 2: “HWP” son archivos documento que usa el procesador de texto Hangul. Según Wikipedia, Hangul, también conocido como Hangul Word Processor o HWP, es una aplicación propietaria de procesamiento de texto que pertenece a la compañía sudcoreana Hancom Inc, y es muy popular en Corea del Sur, y es la que suele usar el gobierno.

¿Usan vulnerabilidades día-cero los atacantes?

No hemos detectado el uso de ninguna vulnerabilidad día-cero. Sin embargo, no podemos descartar por completo el hecho de que ataquen software cuyas vulnerabilidades no hayan sido reparadas.

En una de las víctimas pudimos observar lo que parecía un Kernel exploit a través de una aplicación Java en lo que parecía una escalada de privilegios, aunque no sabemos si se trataba o no de una vulnerabilidad día-cero pues los atacantes habían eliminado el archivo después de usarlo.

¿Es una amenaza que sólo afecta a Windows? ¿Qué versiones de Windows ataca? ¿Hay variantes para Mac OS X o Linux?

Existen variantes de Icefog para Windows y OS X. Los equipos Windows se infectan mediante ataques dirigidos relámpago. Los atacantes llegan, roban lo que desean y se van. Los equipos Mac OS X se infectan mediante un método diferente en lo que parece ser una fase de “prueba beta” del troyano puerta trasera para Mac OS X.

¿Se tienen evidencias de componentes para plataformas móviles iOS, Android o BlackBerry?

Aunque sospechamos de una posible variante para Android, aún no hemos podido detectarla.

¿Qué pasa después de que se infecta un equipo atacado?

Una vez que el troyano puerta trasera se descarga en el equipo, funciona como un troyano controlado de forma remota con cuatro funciones básicas de ciberespionaje:

• Secuestra y envía información básica del sistema a los servidores C&C de los atacantes.
• Permite a los atacantes ejecutar comandos en el sistema infectado.
• Roba y envía archivos de las víctimas a los servidores C&C de los atacantes. Descarga archivos (herramientas) en los equipos infectados desde los servidores C&C.
• Permite a los atacantes ejecutar directamente comandos SQL en cualquier servidor MSSQL de la red.

¿Cuán diferente es de otros ataques APT?

En general, cada ataque APT es diferente y único, con su propio estilo. Pero Icefog posee ciertas características que lo diferencian del resto:

• Se concentra casi exclusivamente en blancos surcoreanos y japoneses.
• El robo de archivos no es automatizado, sino que los atacantes procesan a sus víctimas una por una; encuentran y copian sólo lo que les interesa.
• Implementación web de servidores de comando y control mediante .NET.
• Los servidores de comando y control tienen registros completos de los ataques con cada uno de los comandos ejecutados en los equipos atacados.
• Uso de documentos HWP con exploits.
• Varios cientos de infecciones Mac OS X.

¿Cómo se supo de esta amenaza? ¿Alguien la denunció?

En junio de 2013 detectamos un ataque dirigido contra Fuji TV. El mensaje de correo spear-phishing contenía un adjunto maliciosos que descargaba el programa malicioso Icefog. Tras un detallado análisis, identificamos otras variantes y múltiples ataques del tipo spear-phishing.

Mientras analizábamos el nuevo ataque, fue evidente que se trataba de una nueva versión del ataque al parlamento japonés en 2011. Considerando la importancia del ataque, decidimos realizar una investigación profunda.

¿Cuántas variantes de Icefog existen? ¿Hay diferencias importantes entre las variantes?

Existen múltiples variantes que se crearon a través de los años. En nuestro análisis observamos:

• El “viejo” Icefog de 2011, que envía los datos robados por mensajes de correo; esta versión se usó en el ataque contra el parlamento japonés en 2011.
• El tipo “1” “normal” de Icefog, que interactúa con C2-s.
• El tipo “2” de Icefog, que interactúa con un proxy que redirige comandos desde los atacantes.
• El tipo “3” de Icefog; no tenemos una muestra de este tipo, pero hemos observado un cierto tipo de C2 que utiliza un método diferente de comunicación; sospechamos que existen víctimas con este tipo de programa malicioso.
• El tipo “4” de Icefog, similar al tipo “3”.
• Icefog-NG, que se comunica mediante conexión TCP directa con el puerto 5600 del C2.

¿Sigue activo el servidor de comando y control de Icefog? ¿Se ha podido drenar algunos de los servidores C&C?

Sí, hay muchos servidores C&C de Icefog activos hoy en día, con víctimas vivas conectadas a ellos. Hemos logrado drenar varios dominios que Icefog usa y hemos recopilado datos estadísticos de sus víctimas. En total, hemos observado más de 3600 IPs únicas infectadas y varios cientos de víctimas. Los datos estadísticos completos del drenaje se encuentran disponibles en nuestro documento de estudio.

¿Qué es exactamente lo que se roba de los equipos atacados?

 Los atacantes roban varios tipos de datos, como:

• Documentos confidenciales y planes de las compañías.
• Datos de acceso a cuentas de correo electrónico.
• Contraseñas de acceso a varios recursos dentro y fuera de la red de la víctima.

¿Se trata de un ataque con respaldo gubernamental?

No tenemos evidencias para confirmar si se trata de un ataque patrocinado por un gobierno. La única forma de distinguir los grupos adversarios es identificando sus motivaciones dentro del alcance de la campaña.

Los APTs pueden atacar a cualquier organización o compañía que posea información valiosa, tanto si se trata de una operación de ciberespionaje o cibervigilancia patrocinada por un gobierno, o de una operación de ciberdelincuentes con fines de lucro. En base al análisis y la topología de las víctimas, los atacantes podrían monetizar la información robada o usarla con fines de ciberespionaje.

La naturaleza relámpago de esta operación es uno de los aspectos que la hacen inusual. Mientras que en otros casos las víctimas permanecen infectadas por meses, e incluso años, y sus datos se roban de forma continua, los atacantes responsables de Icefog parecen saber muy bien lo que quieren de sus víctimas. Una vez que obtienen su objetivo, abandonan a sus víctimas.

En años anteriores observamos un significativo aumento en la cantidad de APTs que atacaban casi a todo tipo de víctimas e industrias. Además, este ataque se distingue por concentrarse en información confidencial y ciberespionaje industrial.

Para el futuro, prevemos un aumento en la cantidad de grupos pequeños, contratados para lanzar ataques APT, especialistas en operaciones relámpago.

¿Quiénes son los responsables?

 Esta información se encuentra en nuestro informe privado para gobiernos y autoridades.

Además de Japón y Corea del Sur, hay víctimas en otras regiones?

Sí, hemos observado víctimas en varios países, como Taiwán, Hong Kong, China, EE.UU., Australia, Canadá, Reino Unido, Italia, Alemania, Austria, Singapur, Bielorrusia y Malasia. Sin embargo, creemos que esta lista de países no representa el verdadero interés de los atacantes. Algunas muestras se propagaron mediante sitios web públicos y podían atacar aleatoriamente a víctimas de cualquier país. Creemos que el propósito de esto era probar el programa malicioso en diferentes ambientes y verificar su eficacia.

¿Por cuánto tiempo han estado operando los atacantes?

Icefog ha estado activo al menos desde 2011, atacando particularmente a víctimas en Japón y Corea del Sur. Entre los objetivos conocidos se encuentran instituciones gubernamentales, contratistas militares, grupos marítimos y astilleros, compañías industriales y de alta tecnología, y medios de comunicación.

¿Usaron los atacantes tecnologías avanzadas o interesantes?

Los servidores de comando y control son inusuales por su amplio uso de tecnologías AJAX, lo que los hace gráficamente tentadores y fáciles de usar. Para atacar a sus víctimas, los atacantes de Icefog suelen recurrir a documentos HWP, lo que es una forma de ataque rara e inusual, en parte debido a que la aplicación HWP se usa casi exclusivamente en Corea del Sur.

En una de las víctimas pudimos observar lo que parecía un Kernel exploit a través de una aplicación Java para una escalada de privilegios, aunque no sabemos si se trataba o no de una vulnerabilidad día-cero pues el archivo había sido eliminado.

¿Detecta Kaspersky Lab todas las variantes de este programa malicioso?

Sí, nuestros productos detectan y eliminan todas las variantes de este programa malicioso:

Backdoor.ASP.Ace.ah
Backdoor.Win32.Agent.dcjj
Backdoor.Win32.Agent.dcwq
Backdoor.Win32.Agent.dcww
Backdoor.Win32.CMDer.ct
Backdoor.Win32.Visel.ars
Backdoor.Win32.Visel.arx
Exploit.MSWord.CVE-2010-3333.cg
Exploit.MSWord.CVE-2010-3333.ci
Exploit.MSWord.CVE-2012-0158.ae
Exploit.MSWord.CVE-2012-0158.az
Exploit.MSWord.CVE-2012-0158.bu
Exploit.MSWord.CVE-2012-0158.u
Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.u
Exploit.WinHLP.Agent.d
Trojan-Downloader.Win32.Agent.ebie
Trojan-Downloader.Win32.Agent.gxmp
Trojan-Downloader.Win32.Agent.gzda
Trojan-Downloader.Win32.Agent.gznn
Trojan-Downloader.Win32.Agent.tenl
Trojan-Downloader.Win32.Agent.vigx
Trojan-Downloader.Win32.Agent.vkcs
Trojan-Downloader.Win32.Agent.wcpy
Trojan-Downloader.Win32.Agent.wqbl
Trojan-Downloader.Win32.Agent.wqdv
Trojan-Downloader.Win32.Agent.wqqz
Trojan-Downloader.Win32.Agent.xrlh
Trojan-Downloader.Win32.Agent.xsub
Trojan-Downloader.Win32.Agent.xyqw
Trojan-Downloader.Win32.Agent.yavh
Trojan-Downloader.Win32.Agent.yium
Trojan-Dropper.Win32.Agent.gvfr
Trojan-PSW.Win32.MailStealer.j
Trojan-Spy.Win32.Agent.bwdf
Trojan-Spy.Win32.Agent.bxeo
Trojan.PHP.Agent.ax
Trojan.Win32.Genome.ydxx
Trojan.Win32.Icefog.*

¿Existen Indicadores de Compromiso (IOCs) para ayudar a las víctimas a identificar la intrusión?

Sí, se encuentra nuestro informe detallado sobre Icefog.