13/06/19
Изначально ICEFOG использовался одноименной китайской APT-группой, деятельность которой специалисты «Лаборатории Касперского» описали еще в 2013 году. После публикации отчета ЛК группировка свернула свои операции, и ICEFOG исчез с киберпреступной арены. Однако, как оказалось, работа над вредоносом не прекращалась.
На конференции по ИБ, состоявшейся в Польше на прошлой неделе, исследовательница компании FireEye Чи-Энь Шэнь сообщила об обнаружении обновленных версий ICEFOG. Главные из них, ICEFOG-P и ICEFOG-M, использовались в атаках с 2014-го и 2018-го года соответственно. Обе версии являются прямыми «потомками» оригинального ICEFOG, а значит, на самом деле работа над вредоносом не прекращалась. Более того, Шэнь обнаружила ранее неизвестную версию ICEFOG для Mac.
Примечательно, что группировки, использующие новые версии ICEFOG, никак не связаны с одноименной APT-группой. Вредонос был обнаружен во множествах операций, проводимых разными группировками.
«Операции, проводимые в 2011-2014 годах, отличались последовательностью, что указывало на эксклюзивное использование вредоносного ПО одной группой. Новые варианты стали использоваться разными группами уже после кампании 2013 года. Я сравнила инфраструктуру, использовавшуюся в кампании 2013 года, с кампаниями после 2014 года и не смогла обнаружить связь», - сообщила исследовательница изданию ZDNet.
Каким образом вредонос оказался в арсенале множества группировок, Шэнь затрудняется сказать. Тем не менее, ранее ИБ-эксперты уже сталкивались с использованием одних и тех же инструментов разными китайскими группировками.
Новые варианты ICEFOG были обнаружены в атаках на европейскую сельско-хозяйственную компанию, правительственные и финансовые организации, а также СМИ в России и Монголии (операция TOPNEWS), правительственные учреждения пост-советских стран (Roaming Tiger), казахских должностных лиц (APPER) и пр. В 2018-2019 годах вредонос использовался в атаках на турецкие и казахские организации (операция SKYLINE).
