Icefog — Википедия

Icefog

Icefog (рус. Ледяной туман [слитно]) — кибершпионская кампания, запущенная как минимум в 2011 году. Основной целью кампании является кража данных и атаки на правительственные организации, военные ведомства, судостроительные фирмы, операторы спутниковой и телефонной связи и средства массовой информации, в основном все они расположены в Японии, Южной Корее и Тайване. Для атак использовалось вредоносное ПО. Из остальных жертв всего несколько десятков используют систему Windows, более 350 — macOS. Из жертв, использующих macOS, более 95 % находятся в Китае^[1].

Название Icefog дано кампании в связи с названием командного сервера одной из вредоносных программ, использующихся в ней^[1].

Одна из последних атак Icefog проходила в 2018—2019 гг.^[2]

Схема атаки

Атаки Icefog проходят через рассылку вредоносных вложений или ссылок на вредоносные веб-сайты, при рассылке вложений используются эксплойты для Microsoft Word и Microsoft Excel, например CVE-2012-1856 и CVE-2012-0158, вредоносные сайты используют эксплойты Java CVE-2013-0422 и CVE-2012-1723. При скачивании вложения или переходе по ссылке на устройство скачивается бэкдор Fucobha, одновременно с этим пользователю показывается документ-приманка. Далее бэкдор может удалённо принимать команды от киберпреступников и красть данные, включая пароли^[1].

См. также

Примечания

↑ ¹ ² ³ Киберстихийное бедствие: “Ледяной туман” (неопр.). SecureList. Дата обращения: 2021-16-10. Архивировано 16 октября 2021 года.
↑ Древнее вредоносное ПО ICEFOG снова вернулось в строй (неопр.). Securitylab. Дата обращения: 4 ноября 2021. Архивировано 4 ноября 2021 года.

Хакерские атаки 2010-х
Крупнейшие атаки	Кибератаки в Австралии (2010)^[англ.] Операция «Payback»^[англ.] DigiNotar^[англ.] Операция «Тунис»^[англ.] Взлом и отключение PlayStation Network Операция «AntiSec»^[англ.] Icefog Операция «Red October» Взлом электронной почты компании Stratfor^[англ.] Взлом LinkedIn (2012)^[англ.] Кибератака на Южную Корею (2013)^[англ.] Snapchat Операция Tovar^[англ.] Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp^[англ.] Evil Corp Fancy Bear GNAA^[англ.] Goatse Security^[англ.] Lizard Squad^[англ.] LulzRaft^[англ.] LulzSec NullCrew^[англ.] Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN^[англ.] Tailored Access Operations^[англ.] UGNazi^[англ.]
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer^[англ.] Guccifer 2.0^[англ.] Sabu^[англ.] Topiary^[англ.] The Jester^[англ.] weev^[англ.]
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe^[англ.] (OSX, 2014) JASBUG^[англ.] (Windows, 2015) Stagefright^[англ.] (Android, 2015) DROWN^[англ.] (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA^[англ.] (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT

Похожие исследовательские статьи

В компьютерной безопасности термин «уязвимость» используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Экспло́йт — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой, так и нарушение её функционирования (DoS-атака).

ESET NOD32 — антивирусный пакет, выпускаемый словацкой фирмой ESET. Первая версия была выпущена в конце 1987 года. Название изначально расшифровывалось как «Nemocnica na Okraji Disku».

Программа-вымогатель, программа-шантажист (англ. ransomware — контаминация слов ransom — выкуп и software — программное обеспечение,, винлокер — тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нём данных, а затем требует от жертвы выкуп для восстановления исходного состояния.

Вероятно, первые компьютерные вирусы для семейства ОС Unix были написаны Фредом Коэном в ходе проведения экспериментов. В конце 1980-х появились первые публикации с исходными текстами вирусов на языке Bash.

0day — термин, обозначающий неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы.

EternalBlue — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 марта 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года, а также при распространении Petya в июне 2017 года.

BlueBorne — общее название восьми опасных уязвимостей электронных устройств, работающих с различными имплементациями Bluetooth в Android, iOS, Windows и Linux.

Вектор атаки — последовательность действий или средство для получения неавторизованного доступа к защищённой информационной системе.

Locky — сетевой червь и программа-вымогатель денежных средств, атакующая операционные системы Microsoft Windows и Mac OS. Массовое распространение получила в 2016 году. Распространяется с помощью электронной почты с приложенным документом Microsoft Word, содержащим вредоносные макросы. Является трояном шифрования, который шифрует файлы зараженных компьютеров. В результате вымогатели пытаются получить выкуп за расшифровку от пользователей зараженных компьютеров.

Asprox — ботнет, впервые появившийся в 2007 году. Первоначально был создан для кражи банковской информации, позднее был модифицирован для рассылки фишинговых писем, заражения известных веб-сайтов и распространения вредоносных программ. В январе 2015 года ботнет внезапно перестал функционировать. Всего за время существования ботнета было заражено более полумиллиона страниц.

Bagle — компьютерный червь, распространяющийся по электронной почте. Впервые был обнаружен 18 января 2004 года. Был сделан для кражи информации и создания ботнета для рассылки спама. У червя есть целая куча вариаций, все запрограммированы деактивироваться в определённое время. Скорее всего, все они были сделаны в Австралии.

ZeroAccess — зашифрованная троянская программа и ботнет, сделанный в основном для майнинга биткоинов, проведения кликфродов и распространения различных вредоносных программ. Начал свою деятельность в 2009 году. Сперва имел 32-битную версию, позже появилась 64-битная. Для своего распространения использует одноранговую сеть. В 2012 году был назван самым активным ботнетом. Всего существовало 2 ботнета ZeroAccess с двумя версиями у каждого, для первых двух версий использовались порты 16464 и 16465, для других 16470 и 16471. Всего было идентифицировано 18 серверов ботнета.

«Red October» — кибершпионская операция, проводившаяся для сбора секретных данных с устройств с помощью вредоносных программ. Началась как минимум в мае 2007 года. Она велась против государственных структур, дипломатических ведомств и научно-исследовательских организаций. В основном атаке подвергались конкретные организации из стран Восточной и Западной Европы, Центральной Азии, бывших стран Советского Союза и Северной Америки. Вполне возможно, организаторы атак «Red October» являются русскоязычными.

NetTraveler — троянская программа, созданная для кражи информации и использовавшаяся в атаках кибершпионской сети, которая смогла заразить более 350 определённых жертв в 40 странах. Помимо неё в атаках этой сети использовались бэкдоры Saker и PCRat, также известные как Xbox и Zegost соответственно. Впервые NetTraveler был обнаружен в 2005 году, хотя есть некоторые сведения, указывающие, что его разработка велась с 2004 года, его пик пришёлся на 2010—2013 годы. Атаки с участием этой программы были нацелены на нефтяные компании, научно-исследовательские институты, частные компании, правительственные организации и военные объекты. Приблизительное число атакующих насчитывает до 50 человек, предположительно родным языком большинства из них является китайский. Всего ими было украдено более 22 гигабайт данных. В теле программы была обнаружена надпись «NetTravelerisRunning!», вследствие чего она получила это название.

Silencе — группа русскоязычных хакеров. В основном атакует финансовые организации с помощью фишинговых писем с вредоносными файлами. На 2021 год личности участников неизвестны. Группа получила имя по названию собственного инструмента Silence.Downloader, который использовала для компрометации систем.

Cobalt — группа хакеров, активная с 2016 года. Их основной целью являются компании кредитно-финансового сектора. В 2018 году задержали одного из лидеров группировки, однако атаки продолжились.Cobalt получила свое название по имени общедоступного программного обеспечения, которое они использовали для взлома систем — Cobalt Strike. Это лицензионная программа для тестирования информационных систем на проникновение, производимая американской компанией Strategic Cyber, LLC. Существует мнение, что некоторые ее участники были членами другой хакерской группы Anunak/Carbanak. Также некоторые источники утверждают, что Cobalt и Anunak — это одна и та же группировка.

Log4Shell (CVE-2021-44228) — это уязвимость нулевого дня в Log4j, популярной среде ведения журналов Java, включающая выполнение произвольного кода. Уязвимость — её существование не было замечено с 2013 года — была раскрыта в частном порядке Apache Software Foundation, проектом которой является Log4j, Чен Чжаоцзюнь из группы безопасности Alibaba Cloud 24 ноября 2021 года и публично раскрыта 9 декабря 2021 года. Apache дал Log4Shell оценку серьезности CVSS 10, наивысшую доступную оценку. Подсчитано, что эксплойт затрагивает сотни миллионов устройств и очень прост в использовании.

Киберсбор — это использование методов кибервойны для ведения шпионажа, Частный случай кибершипонажа. Действия по киберсбору обычно основаны на внедрении вредоносного ПО в целевую сеть или компьютер для сканирования, сбора и вывода конфиденциальной и(или) секретной информации.

Операция «Триангуляция» — это целевая кибератака на iOS-устройства с применением цепочки четырёх уязвимостей нулевого дня. Впервые обнародована в июне 2023 года. Отличается беспрецедентной для iOS-атак технической сложностью. Количество жертв атаки оценивается в несколько тысяч человек.

Эта страница основана на статье Википедии.
Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия.
Изображения, видео и звуки доступны по их собственным лицензиям.