Kaspersky Lab zidentyfikował infrastrukturę wykorzystywaną przez znane rosyjskojęzyczne ugrupowanie cyberprzestępcze zwane Crouching Yeti lub Energetic Bear, która składa się z zainfekowanych serwerów zlokalizowanych na całym świecie. Z badania wynika, że od 2016 r. zaatakowane zostały liczne serwery w różnych państwach, niekiedy w celu uzyskania dostępu do innych zasobów.
Crouching Yeti to monitorowane przez Kaspersky Lab od 2010 r. rosyjskojęzyczne ugrupowanie APT (stosujące zaawansowane, długotrwałe zagrożenia), najbardziej znane z atakowania sektorów przemysłowych na całym świecie, w szczególności zakładów energetycznych, głównie w celu kradzieży cennych danych z systemów ofiar. Jedną z powszechnie stosowanych przez ugrupowanie technik jest przeprowadzanie ataków metodą „wodopoju” (ang. watering hole), w ramach których przestępcy wstrzykują do istniejących stron internetowych odsyłacze przekierowujące odwiedzających do szkodliwych zasobów.
Niedawno Kaspersky Lab wykrył wiele zainfekowanych przez to ugrupowanie serwerów należących do różnych organizacji zlokalizowanych w Rosji, Stanach Zjednoczonych, Turcji oraz państwach europejskich, które nie ograniczały się jedynie do przedsiębiorstw przemysłowych. Według badaczy zostały one zaatakowane w latach 2016-2017 w różnych celach. W niektórych przypadkach serwery te pośredniczyły podczas przeprowadzania ataków na inne zasoby.
W procesie analizowania zainfekowanych serwerów badacze zidentyfikowali liczne strony internetowe oraz zasoby wykorzystywane przez organizacje w Rosji, Stanach Zjednoczonych, Europie, Azji oraz Ameryce Łacińskiej, które atakujący skanowali przy użyciu różnych narzędzi. Celem było prawdopodobnie znalezienie serwerów, które mogłyby zostać wykorzystane do przechowywania narzędzi cyberprzestępczych, a następnie opracowania ataku. Zakres stron internetowych i serwerów, które zwróciły uwagę atakujących, jest szeroki (m.in. sklepy i serwisy internetowe, witryny organizacji publicznych, pozarządowych itd.).
Eksperci stwierdzili również, że ugrupowanie wykorzystywało publicznie dostępne szkodliwe narzędzia służące do analizowania serwerów oraz szukania i gromadzenia informacji.
– Crouching Yeti to znane rosyjskojęzyczne ugrupowanie, które jest aktywne od wielu lat i nadal skutecznie atakuje organizacje przemysłowe, między innymi za pośrednictwem ataków metodą wodopoju. Z naszych ustaleń wynika, że ugrupowanie infekowało serwery nie tylko w celu zastawiania pułapek na użytkowników, ale również, by wykorzystywać je do dalszego wyszukiwania podatnych zasobów. Ponadto przestępcy aktywnie wykorzystywali narzędzia oparte na otwartym źródle, co znacznie utrudniło zidentyfikowanie szkodliwych działań. Aktywność gangu obejmująca wstępne gromadzenie danych, kradzież informacji umożliwiających uwierzytelnienie oraz skanowanie zasobów służy do przeprowadzania dalszych ataków. Różnorodność zainfekowanych serwerów i skanowanych zasobów sugeruje, że ugrupowanie może działać w interesie osób trzecich – powiedział Władimir Daszczenko, szef zespołu zajmującego się badaniem luk w zabezpieczeniach, Kaspersky Lab ICS CERT.
W celu zabezpieczenia się przed działaniami cybergangów takich jak Crouching Yeti Kaspersky Lab zaleca organizacjom wdrożenie wszechstronnego systemu ochrony przed zaawansowanymi zagrożeniami składającego się z wyspecjalizowanych rozwiązań bezpieczeństwa do wykrywania ataków ukierunkowanych oraz reagowania na incydenty, wraz z eksperckimi usługami i analizą zagrożeń. Przykładem takiego systemu jest platforma Kaspersky Threat Management and Defense zapewniająca ochronę przed atakami na wczesnych etapach poprzez analizowanie podejrzanej aktywności sieciowej. Z kolei rozwiązanie Kaspersky EDR zapewnia udoskonaloną widoczność punktów końcowych, możliwości przeprowadzenia cyfrowych śledztw oraz automatyzację reakcji. Wspomaga je globalna analiza zagrożeń oraz usługi eksperckie Kaspersky Lab specjalizujące się w aktywnym wyszukiwaniu zagrożeń i reagowaniu na incydenty.
I