Kaspersky Lab identifikuje infrstrukturu koju koristi “Crouching Yeti” APT grupa, poznata po napadima na industrijske kompanije –

Kompanija Kasperski Lab otkrila je infrastrukturu koju koristi poznata APT grupa sa ruskog govornog područja “Crouching Yeti”, poznata i pod nazivom “Energetic Bear”, kao i kompromitirane servere širom sveta. Prema istraživanju, brojni serveri u različitim zemljama bili su mete napada od 2016. godine, ponekad u svrhu pristupa drugim resursima. Ostali, uključujući i one na kojima su bili hostovani neki ruski sajtovi, bili su korišćeni za “watering hole” napade.

“Crouching Yeti” je napredna grupa za pretnje (APT) sa ruskog govornog područja, čije aktivnosti Kaspersky Lab prati od 2010. godine. Ova grupa je najpoznatija po napadima na industrijske sektore širom sveta, a primarno se fokusira na energetske objekte, u cilju krađe dragocenih podataka iz sistema žrtava. Jedna od tehnika koje je grupa koristila u velikoj meri su “watering hole” napadi: napadači bi zarazili internet lokacije linkom koji preusmeravala posetioce na zlonamerni server.

Nedavno, kompanija Kaspersky Lab otkrila je brojne servere koji su bili cilj ove grupe, a koji pripadaju različitim organizacijama sa sedištem u Rusiji, SAD, Turskoj i evropskim zemljama. Veliki deo ovih servera ne pripada industrijskim kompanijama. Prema istraživanju, oni su bili napadani tokom 2016 i 2017. godine sa različitim namerama. Pored “watering hole” napada, ovi serveri su u nekim slučajevima korišćeni i kao posrednici za napade na druge resurse.

U procesu analize zaraženih servera, istraživači su identifikovali brojne veb stranice i servere koje su koristile organizacije u Rusiji, SAD-u, Evropi, Aziji i Latinskoj Americi koje su napadači skenirali različitim alatima. Cilj ovih skeniranja je bio da se pronađe server koji bi mogao da se koristi za uspostavljanje osnove za hostovanje napadačkih alata i kasnije razvijanje napada. Neke skenirane lokacije možda su bile interesantne za napadače i za “watering hole” napade. Niz sajtova i servera koji su privukli pažnju napadača je opsežan. Istraživači kompanije Kaspersky Lab su otkrili da su napadači skenirali brojne i raznovrsne veb stranice, uključujući online prodavnice i usluge, javne organizacije, nevladine organizacije, proizvodnju itd.

Takođe, stručnjaci su otkrili da je grupa koristila javno dostupne zlonamerne alate, namenjene analizi servera i za traženje i prikupljanje informacija. Pored toga, otkrivena je modifikovana sshd datoteka sa unapred instaliranom backdoor ulazom. Ovo je korišćeno da se zameni originalna datoteka i mogla je biti odobrena “master lozinkom”.

‘Crouching Yeti’ je poznata grupa sa ruskog govornog područja, koja je aktivna već duži niz godina i još uvek uspešno cilja industrijske organizacije sa ‘watering hole’ napadima, između ostalih tehnika. Naši nalazi pokazuju da je grupa kompromitovala servere i sa ciljem nastavka skeniranja, ali i aktivno koristila alate sa otvorenim kodom zbog čega ih je mnogo teže identifikovali”, rekao je Vladimir Dashchenko, šef grupe za istraživanje ranjivosti u ICS CERT timu kompanije Kaspersky Lab.

Aktivnosti grupe, kao što su inicijalno prikupljanje podataka, krađa podataka vezanih za autentifikaciju korisnika i skeniranje resursa, koriste se za pokretanje novih napada. Raznolikost zaraženih servera i skeniranih resursa sugerišu da grupa može delovati u interesu trećih strana “, dodao je on.

Kompanija Kaspersky Lab preporučuje organizacijama da implementiraju sveobuhvatni zaštitni okvir protiv naprednih pretnji koji se sastoji od namenskih sigurnosnih rešenja za  detekciju ciljanih napada i reakciju na incidente, kao i stručnih službi i informacija o opasnostima.