.jpg)
Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...
Technology >> Securitate >> Furnizori
Crouching Yeti: o campanie activa de spionaj cibernetic cu peste 2.800 de victime
Kaspersky Lab anunta publicarea unei analize amanuntite legate de malware-ul si infrastructura serverelor de comanda si control utilizate in campania de spionaj cibernetic cunoscuta de cercetatorii Global Research and Analysis Team (GReAT) sub numele de „Crouching Yeti”. Originile campaniei dateaza inca de la finalul anului 2010, fiind in continuare activa si in cautarea unor noi victime in fiecare zi.
„Energetic Bear este numele initial ales de compania Crowd Strike pentru aceasta campanie, conform propriei terminologii. Cuvantul «Bear» se refera la origine, iar specialistii Crowd Strike considerau ca tara de provenienta a campaniei este Rusia. Kaspersky Lab inca investigheaza toate informatiile disponibile legate de localizarea campaniei, insa, in acest moment nu exista date suficient de clare pentru a veni cu o concluzie in acest sens. In plus, analiza noastra demonstreaza ca atentia atacatorilor la nivel global este extinsa si nu vizeaza doar producatorii de energie. Pe baza acestor informatii, am decis sa numim acest fenomen altfel: cuvantul «Yeti» aminteste de «Bear», dar reflecta originea necunoscuta a campaniei,”, a declarat Nicolas Brulez, Principal Security Researcher in cadrul Kaspersky Lab.
Energetic Bear/Crouching Yeti include mai multe campanii de tip APT (Advanced Persistent Threat - amenintari persistente avansate). Spre deosebire de teoriile initiale, conform analizei expertilor Kaspersky Lab, victimele fac parte din diferite tipuri de organizatii. Cele mai multe victime identificate fac parte din urmatoarele sectoare: industrial/utilaje, productie, farmaceutic, constructii, educatie, tehnologia informatiei.
Numarul total de victime la nivel global este de peste 2.800, dintre care cercetatorii Kaspersky Lab au identificat 101 organizatii. Lista victimelor vizate pare sa indice un interes al campaniei Crouching Yeti pentru anumite tinte strategice, precum si pentru institutii mai putin importante. Expertii Kaspersky Lab considera ca acestea din urma ar putea fi victime colaterale, insa este posibila si varianta in care campania Crouching Yeti nu vizeaza doar tinte foarte specifice dintr-un anumit sector, ci este de fapt o campanie extinsa de spionaj, cu interese in sectoare diferite.
Organizatiile atacate sunt localizate cu preponderenta in SUA, Spania si Japonia, dar exista victime si in Germania, Franta, Italia, Turcia, Irlanda, Polonia, Grecia si Croatia. Tinand cont de activitatea victimelor descoperite, principalul impact negativ pentru acestea este dat de sustragerea de informatii confidentiale, cum ar fi secretele comerciale sau expertiza companiei.
Crouching Yeti nu este o campanie foarte sofisticata. De exemplu, atacatorii nu au utilizat exploit-uri de tip zero-day, optand pentru exploit-uri raspandite pe Internet. Insa, acest lucru nu a favorizat identificarea campaniei mai rapid, aceasta operand nedescoperita timp mai multi ani.
Specialistii Kaspersky Lab au gasit dovezi legate de existenta a cinci tipuri de instrumente malware utilizate de atacatori pentru a sustrage informatii valoroase din sistemele compromise:
Troianul Havex
Troianul Sysmain
Backdoor-ul ClientX
Backdoor-ul Karagany si alte module conexe de tip stealer
Instrumente pentru miscare laterala sau de stadiu secundar
Cel mai des utilizat instrument este troianul Harvex. Cercetatorii Kaspersky Lab au descoperit, in total, 27 de versiuni diferite ale acestui program periculos si cateva module aditionale, inclusiv instrumente utilizate la colectarea datelor din cadrul sistemelor de control industrial. Produsele Kaspersky Lab detecteaza si elimina toate variantele de malware utilizate in aceasta campanie.
Pentru comanda si control, Havex si alte instrumente malware utilizate de Crouching Yeti se conectecteaza la o retea mare de website-uri compromise. Aceste site-uri contin informatii despre victime si transmit comenzi si module de malware aditionale catre sistemele infectate.
Lista modulelor care pot fi descarcate include instrumente pentru sustragerea parolelor si a contactelor din Outlook, capturi de ecran, precum si module care cauta si sustrag diferite tipuri de fisiere: documente de tip text, foi de calcul, fisiere PDF, discuri virtuale, fisiere protejate cu parola, chei de securitate de tip PGP etc.
In prezent, troianul Havex include doua module speciale cu scopul de a aduna si a transmite atacatorului informatii din medii IT industriale specifice. Modulul de scanare OPC este construit pentru a colecta informatii extrem de detaliate despre serverele OPC care ruleaza in reteaua locala. Aceste servere sunt utilizate de obicei in retele care ruleaza multiple sisteme de automatizare industriala. Al doilea modul este un instrument utilizat pentru scanarea retelei locale, cu scopul de a descoperi toate computerele care utilizeaza software OPC/SCADA, incercand ulterior sa se conecteze la aceste sisteme pentru a identifica versiunea OPC/SCADA care ruleaza si pentru a transmite toate datele obtinute catre serverele de comanda si control.
Campanie de spionaj cibernetic cu origine necunoscuta
Cercetatorii Kaspersky Lab au observat cateva trasaturi care ar putea oferi informatii legate de tara de origine a infractorilor aflati in spatele acestei campanii. Astfel, acestia au demarat o analiza a 154 de inregistrari de timp si data si au concluzionat ca majoritatea mostrelor de malware au fost compilate intre orele 06:00 si 16:00 UTC, interval care corespunde tuturor tarilor din Europa, inclusiv din Europa de Est.
Expertii au analizat si limbajul utilizat de atacatori. Sirurile de text din malware-ul analizat sunt scrise in engleza (de catre vorbitori non-nativi). Spre deosebire de concluziile anterioare ale cercetarilor cu privire la aceasta campanie, de aceasta data specialistii Kaspersky Lab nu au ajuns la o concluzie definitiva care sa confirme originea ruseasca a atacatorilor. Spre deosebire de rezultatele documentate legate de Red October, Miniduke, Cosmicduke, Snake si TeamSpy, cele aproape 200 de coduri binare periculoase analizate si continutul operational conex, nu au inclus limbaj chirilic (sau o transcriere a acestuia). De asemenea, analizand originea atacului, expertii Kaspersky Lab au descoperit dovezi care pot indica vorbitori de franceza si suedeza.
Expertii Kaspersky Lab isi continua cercetarile legate de aceasta campanie, lucrand impreuna cu agentii de aplicare a legii, dar si cu parteneri din industrie.
Parerea ta conteaza: 
Asemanator
Construirea unei baze solide pentru securitatea cibernetică a soluțiilor dvs. video- Cluj Napoca devine centrul hacking-ului și securității cibernetice din Euopa Centrală și de Est
- Noul model de reziliență a datelor Zero Trust, conceput de experții IT īn securitatea și protecția datelor
- Veeam lansează o nouă versiune pentru Veeam Backup for Salesforce pe cel mai important marketplace de soluții cloud pentru companii
- Veeam anunță noi capabilități de securitate și detectare a malware-ului pentru Veeam Data Platform
- Veeam obține o importantă certificare pentru produsele comerciale de securitate cibernetică din SUA
Alte articole scrise de Luiza Sandu
- Studiu: Comerțul online din Romānia a īnregistrat īn 2016 cea mai mare creștere din Europa
- Studiu Epson: Companiile din Romānia deţin, īn medie, 5,5 imprimante
- Microsoft anunta noi solutii si tehnologii care sprijina digitalizarea companiilor
- Ericsson va testa tehnologia 5G in teren, impreuna cu NTT DOCOMO
