خبراء "كاسبرسكي" يكشفون عن حملة تجسسية لـ "Icefog" ضد أهداف أمريكية
اكتشف فريق البحوث الأمنية بـ"كاسبرسكي لاب" -مؤخرا- عن تفاصيل تتعلق بـIcefog، وهي مجموعة صغيرة تعمل في مجال التهديدات المطورة المستمرة وتركز على أهداف في كوريا الجنوبية واليابان، تصيب سلسلة الإمداد للشركات الغربية، وبدأت حملتها في 2011 وتوسعت خلال السنوات الفائتة.
أما Icefog، الذي يعرف أيضا باسم "Dagger Panda" بحسب اتفاقية Crowdstrike للتسمية، فقد أصاب أهدافا في كوريا الجنوبية واليابان تحديدا، وتستغرق الهجمة عدة أيام أو أسابيع في العادة، وعندما يحصل المهاجمون على مبتغاهم، يغادرون.
وبحسب الباحثين، نظرا لأن برمجيات Java الخبيثة، التي ليست بشهرة برمجيات Windows PE الخبيثة، فإنه يصعب اكتشافها، في الواقع، خلال عملية "حفرة الإغراق" التي أجريت لنطاق "lingdona[dot]com"، وجد الباحثون 8 عناوين IP لثلاث ضحايا Javafog تتواجد جميعها في الولايات المتحدة الأمريكية، وتبين أن أحد هذه الأهداف شركة أمريكية كبيرة مستقلة للنفط والغاز تمارس نشاطها في دول أخرى كثيرة.
وقالت شركة كاسبرسكي لاب: إن طبيعة "اضرب واهرب" التي يتميز بها هجمات Icefog تبين أن هناك نزعة جديدة بدأت بالظهور: عصابات صغيرة من نوع "اضرب واهرب" تبحث عن المعلومات بدقة.
منذ أن تم وصف حملة Icefog لأول مرة في سبتمبر 2013، غاب مهاجمو Icefog عن الساحة وقاموا بإغلاق جميع خوادم الأوامر والمراقبة إلا أن المتابعة المتواصلة للحملة دلت الخبراء على وجود رابط بين Java وIcefog، ليشار إليه فيما بعد بـJavafog، مكتشفين جيلا جديدا من برامج backdoor المستخدمة من قبل المهاجمين.
في بحث آخر، تناول الفريق هجمة أخرى تبدأ عبر استغلال الثغرات في برامج microsoft office، وبعدها يحاول المهاجمون نشر وتشغيل Javafog.
