Kaspersky Lab identifică infrastructura utilizată de hackerii ruși din gruparea Crouching Yeti

- Adrian Ungureanu
385

Kaspersky Lab a descoperit infrastructura utilizată de Crouching Yeti, o grupare de hackeri ruși, cunoscută și sub numele de Energetic Bear. Infrastructura include servere compromise din întreaga lume, iar conform cercetării, numeroase servere din diferite țări au fost compromise încă din 2016, uneori pentru a acorda grupării acces la alte resurse.

Alte servere, inclusiv cele care găzduiesc site-uri rusești, au fost utilizate drept „watering holes”.

Crouching Yeti este un grup care se ocupă cu amenințările avansate și persistente (APT), vorbitor de limba rusă, pe care Kaspersky Lab îl monitorizează încă din 2010. Grupul are în vizor sectoarele industriale din întreaga lume, concentrându-se pe sistemele energetice cu scopul de a fura date din sistemele compromise. Una dintre tehnicile utilizate pe scară largă de grup este atacul de tip „watering hole”: atacatorii injectează site-uri web cu un link care redirecționează vizitatorii către un server infectat.

Recent, Kaspersky Lab a descoperit o serie de servere compromise de către grup, care aparțineau mai multor organizații din Rusia, S.U.A., Turcia și țările europene, și care nu făceau parte numai din sectoarele industriale. Potrivit cercetătorilor, serverele au fost atacate în 2016 și 2017, cu diferite scopuri. Astfel, în afară de tehnica „watering hole”, în unele cazuri serverele au fost folosite drept intermediari pentru a lansa atacuri asupra altor resurse.

În cadrul procesului de analiză a serverelor infectate, cercetătorii au identificat numeroase site-uri și servere utilizate de organizații din Rusia, SUA, Europa, Asia și America Latină pe care atacatorii le-au scanat cu diverse instrumente, posibil pentru a găsi un server care ar fi putut fi utilizat ca punct de sprijin pentru găzduirea instrumentelor malware și pentru dezvoltarea ulterioară a unui atac. Este posibil ca unele dintre site-urile scanate să fi fost de interes pentru atacatori pentru a fi folosite drept „watering holes”. Gama de site-uri și servere care au atras atenția atacatorilor este extinsă. Cercetătorii Kaspersky Lab au descoperit că atacatorii au scanat numeroase site-uri web de diferite tipuri, inclusiv magazine și servicii online, organizații publice, ONG-uri, companii de producție etc.

De asemenea, experții au descoperit că grupul a folosit instrumente malware disponibile public, concepute pentru analizarea serverelor și pentru căutarea și colectarea de informații. În plus, a fost descoperit un fișier modificat sshd cu un backdoor preinstalat. Acesta a fost folosit pentru a înlocui fișierul original și putea fi autorizat cu o “parolă master”.

“Crouching Yeti este un grup vorbitor de limbă rusă cunoscut foarte bine în industrie, care e activ de mulți ani și care se concentrează pe atacarea organizațiilor industriale prin tehnica „watering hole”, dar are și alte tehnici de atac”, spune, într-un comunicat remis redacției, Vladimir Dashchenko, Head of Vulnerability Research Group, Kaspersky Lab ICS CERT. „Conform cercetărilor noastre, grupul a compromis serverele nu doar pentru a plasa „watering holes”, ci și pentru a le scana ulterior, și au folosit în mod activ instrumente open-source care au îngreunat masiv identificarea atacurilor”.

“Activitățile grupului, cum ar fi colectarea inițială de date, furtul datelor de autentificare și scanarea resurselor sunt folosite ulterior pentru a iniția alte atacuri. Diversitatea serverelor infectate și a resurselor scanate ne sugerează că este posibil ca grupul să opereze în beneficiul unui terț”, a adăugat Dashchenko.

Kaspersky Lab recomandă organizațiilor să implementeze un sistem de apărare complex împotriva amenințărilor avansate, care să cuprindă soluții dedicate de securitate pentru detectarea atacurilor direcționate și pentru la lua măsuri cât mai rapid în cazul unui incident, alături de servicii de specialitate și servicii de informații privind amenințările.

Platforma Kaspersky Anti Targeted Attack face parte din sistemul Kaspersky Threat Management and Defense și poate detecta un atac încă din stadiile incipiente, analizând activitățile suspecte din rețea. De asemenea, soluția Kaspersky EDR optimizează vizibilitatea la nivelul endpoint, capacitatea de investigare și permite automatizarea răspunsurilor. Toate acestea beneficiază de serviciile de informare privind amenințările globale ale Kaspersky Lab, precum și de cunoștințele experților noștri privind monitorizarea amenințărilor și răspunsul la incidente.