Bezpečnostní experti spoločnosti Kaspersky Lab odhalili infraštruktúru kyberzločineckej skupiny Crouching Yeti. Rusky hovoriaca skupina známa tiež ako Energetic Bear má na svedomí pokročilé útoky na priemyselné infraštruktúry po celom svete. Na infekciu dotknutých serverov zneužívala často dôveryhodné webové stránky.  

Crouching Yeti je rusky hovoriaca kyberzločinecká skupina z kategórie APT hrozieb, ktorá organizuje cielené útoky  predovšetkým na priemyselné siete. Výskumníci spoločnosti Kaspersky Lab ju sledujú už od roku 2010. Zameriava sa predovšetkým na siete energetických spoločností s cieľom získať cenné údaje zo systému obete. Skupina pri útokoch často využíva techniku tzv. watering holes, kedy sa na infekciu počítača zneužívajú dôveryhodné webové stránky, ktoré si útočníci vopred vytipujú podľa oblasti záujmu svojho cieľa.

Počas vyšetrovania tejto hrozby sa podarilo bezpečnostným expertom odhaliť niekoľko napadnutých serverov patriacich spoločnostiam a organizáciám so sídlom v Rusku, USA, Turecku, ale aj v niektorých európskych krajinách. Napadnuté boli prevažne v období medzi rokmi 2016 a 2017.

Analýza odhalila niekoľko infikovaných webových stránok, ktoré boli zneužívané na cielené útoky alebo boli vybrané ako potenciálne zdroje na realizáciu ďalších škodlivých aktivít. Zoznam zahŕňa aj stránky niektorých e-shopov, verejných či neziskových organizácií, výrobných spoločností, dodávateľov služieb a pod. z celého sveta.

Na svoje útoky vyžívali verejne dostupné nástroje na analýzu serverov, ako aj na vyhľadávanie a zber informácií. Rovnako bol v rámci analýzy objavený aj modifikovaný sshd súbor s predinštalovaným backdoorom. Ten slúžil ako náhrada pôvodných súborov a bol schopný prejsť autorizáciou tzv. master passwordom (generátorom bezpečných hesiel).

„Crouching Yeti je známa rusky hovoriaca kyberzločinecká skupina, ktorej sa už niekoľko rokov darí úspešne realizovať útoky na priemyselné organizácie, najčastejšie s pomocou tzv. watering holes techník. Zistili sme však, že ich aktivity nekončia len pri nastavení ideálnych podmienok pre realizáciu watering holes útokov. V napadnutých systémoch vykonávajú ďalší scanning, pričom aktívne používajú open-source nástroje na lepšie zahladenie stôp,” povedal Vladimir Dashchenko, vedúci výskumnej skupiny v Kaspersky Lab ICS CERT.

„Aktivity skupiny, ako napr. počiatočný zber údajov, krádež prihlasovacích údajov či scanning zdrojov sú potom využívané na spustenie ďalších útokov. Rôznorodosť infikovaných serverov a zdrojov naznačuje, že skupina pravdepodobne operuje na objednávku tretích strán,“ dodal Vladimir Dashchenko.

Bezpečnostní experti preto odporúčajú organizáciám zaviesť komplexnú formu ochrany proti pokročilým cieleným hrozbám, ktorá zahŕňa bezpečnostné riešenia určené na detekciu cielených útokov a reakciu na incidenty, vrátane expertných služieb a systému sledovania hrozieb. Riešenie Kaspersky Threat Management and Defense zahŕňa aj platformu zameranú proti cieleným útokom, ktorá je schopná zachytiť incident už v ranom štádiu a okamžite spustí analýzu podozrivej aktivity v rámci siete, pričom jej ďalšia funkcionalita Kaspersky EDR navyše zabezpečí vylepšenú viditeľnosť koncových bodov, sledovacie procesy, ako aj automatizáciu reakcií.

Viac informácií o aktivite Crouching Yeti, ako aj ďalšie detaily súvisiace s jej analýzou nájdete na webovej stránke Kaspersky Lab ICS CERT alebo v expertnom blogu na Securelist.com.

Značky: