A Crouching Yeti kiberkémkedési kampányban eddig 100 szervezet érintett

forrás: Prím Online, 2014. augusztus 1. 12:34

A Kaspersky Lab kiadta átfogó elemzését a vállalat Global Research and Analysis Team (GReAT) részlege által Crouching Yeti-nek nevezett kiberkémkedési kampány malware-éről, valamint parancs és vezérlő (C&C) szerveréről. A kutatók szerint a kampány 2010 végén indult, amely a mai napig aktív, és minden nap újabb áldozatokat vesz célba.

„A kampány először az Energetic Bear nevet kapta a CrowdStrike biztonsági cégtől, mivel úgy vélték, hogy a fenyegetés orosz eredetű. A Kaspersky Lab még mindig vizsgálja az összes létező kapcsolatot, jelenleg azonban egyetlen irányba sem mutatnak határozott szálak. Elemzésünk azt is kiderítette, hogy a támadók fókusza sokkal szélesebb, és nem csupán az energiaszolgáltatókra korlátozódik. Ezen információk birtokában döntöttünk úgy, hogy új nevet adunk a jelenségnek.” - mondta Nicolas Brulez, a Kaspersky Lab vezető biztonsági kutatója.

 

Nem annyira „energikus”

 

Az Energetic Bear/Crouching Yeti számos, úgynevezett fejlett állandó fenyegetés (APT) kampányban vett részt. A Kaspersky Lab kutatása szerint áldozatai szélesebb körből kerülnek ki, mint azt korábban hitték. Az azonosított áldozatok legnagyobb számban a következő szektorokból kerültek ki: gépipar, gyártás, gyógyszeripar, építőipar, oktatás, információtechnológia.

 

Az ismert áldozatok száma világszerte meghaladja a 2800-at, melyek között a Kaspersky Lab kutatói 101 szervezetet tudtak azonosítani. Az áldozatok listája jól mutatja a Crouching Yeti érdeklődését a stratégiai célpontok iránt, ugyanakkor sok olyan intézményt is támadott, amelyek nem sorolhatók ebbe a csoportba. A Kaspersky Lab szakértői szerint ezek lehetnek másodlagos áldozatok, de ugyancsak ésszerű magyarázat lehet, hogy a Crouching Yeti nem csupán egy speciális területre fókuszáló, célzott kampány, hanem egyúttal egy széles körű felderítő művelet, amely több különböző szektor iránt mutat érdeklődést.

 

A megtámadott szervezetek többsége az Egyesült Államokban, Spanyolországban és Japánban működik, de szép számmal található belőlük Németországban, Franciaországban, Olaszországban, Törökországban, Írországban, Lengyelországban és Kínában. Az ismert áldozatok jellegének ismeretében a támadások legkellemetlenebb eredménye a bizalmas adatok, például üzleti titkok és know-how információk illetéktelen kezekbe kerülése lehetett.

 

Ipari kémkedés: rosszindulatú eszközök több kiegészítő modullal

 

A Crouching Yeti nem nevezhető kifinomult kampánynak. Például a támadók nem vesznek igénybe a nulladik napi sérülékenységeket kihasználó eszközkészleteket, csak olyanokat, amelyek széles körben elérhetők az interneten. Ez azonban nem gátolta abban, hogy sok éven keresztül eredményesen működjön.

 

A Kaspersky Lab kutatói ötféle típusú rosszindulatú eszköz bevetésére találtak bizonyítékokat. Ezeket az eszközöket a feltört rendszereken található értékes információk ellopására használták:

 

·         Havex trójai

·         Sysmain trójai

·         ClientX backdoor

·         Karagany backdoor és a kapcsolódó adatlopók

·         Oldalirányú mozgást megvalósító és a második szakaszban használt eszközök

 

A legszélesebb körben használt eszköz a Havex trójai: ennek a rosszindulatú programnak 27 különféle változatát fedezték fel a Kaspersky Lab kutatói, valamint több kiegészítő modulját, többek között az ipari vezérlő rendszerekből adatot gyűjtő eszközöket. A Kaspersky Lab termékei észlelik és irtják a Havex-nek ebben a kampányban használt összes változatát.

 

A parancsokért és a vezérlésért a Havex és a Crouching Yeti által használt többi rosszindulatú eszköz feltört webhelyek kiterjedt hálózatához csatlakozik. Ezek a webhelyek tárolják az áldozatokra vonatkozó információkat, továbbá szolgáltatják a kiegészítő malware modulokat és a fertőzött rendszereket irányító parancsokat.

 

A letölthető modulok között találhatók eszközök a jelszavak és az Outlook kapcsolatok ellopására, a képernyőtartalmak rögzítésére, valamint bizonyos típusú fájlok – szöveges dokumentumok, táblázatok, PDF fájlok, virtuális meghajtók, jelszóval védett fájlok, pgp biztonsági kulcsok stb. – megkeresésére és ellopására.

 

Jelenleg a Havex trójai két olyan igen speciális modulja ismert, amelyek funkciója az ipari IT környezetekből származó adatok összegyűjtése és továbbítása a támadóknak. Az OPC szkenner modul a helyi hálózatokban működő OPC szerverekről gyűjt igen részletes adatokat. Ilyen típusú szervereket azokban az üzemekben használnak, ahol több ipari automatizációs rendszer működik. A második modul egy hálózatszkennelő eszköz, amelyet a helyi hálózat átvizsgálására és az OPC/SCADA szoftverhez tartozó portokat figyelő összes számítógép felkutatására terveztek, valamint arra, hogy próbáljon meg kapcsolódni ezekhez a gépekhez, hogy azonosítsa, mely lehetséges OPC/SCADA rendszer fut. További funkciója a modulnak, hogy az összes összegyűjtött adatot eljuttassa a parancs és vezérlő szervereknek.

 

 

Rejtélyes eredet

 

A Kaspersky Lab kutatói számos meta funkciót figyeltek meg, amelyekből kideríthető lehet a kampány mögött álló bűnözők nemzeti hovatartozása. Időbélyeg elemzést végeztek 154 fájlon, és megállapították, hogy a legtöbb minta greenwichi idő szerint 6:00 és 16:00 között készült, vagyis bármelyik európai, illetve kelet-európai ország szóba jöhet.

 

A szakértők ugyancsak elemezték a szerzők nyelvét. A vizsgált malware-ben található karaktersorozatok angol nyelvűek, amelyeket nem anyanyelvi személyek írtak. A közel 200 rosszindulatú bináris fájlban és kapcsolódó anyagban egyáltalán nem lelhetők fel cirill betűs tartalmak (vagy átiratok), nem úgy, mint a Red October, a Miniduke, a Cosmicduke, a Snake és a TeamSpy esetében. Ugyanakkor találtak francia és svéd anyanyelvű személyekre utaló nyelvi nyomokat.

 

A Kaspersky Lab szakértői folytatják a kampány kutatását, miközben együttműködnek a rendvédelmi szervekkel és az iparági partnerekkel. A kutatás teljes szövege megtalálható a Securelist.com webhelyen.

 

Kép: ibtimes.co.uk

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Megvannak az IAB 2023-as Legjobb szakdolgozat pályázatának nyertesei

2024. március 25. 15:50

A 2024-es év fordulópont lehet az IT munkaerőpiacon?

2024. március 20. 10:09

Nők az informatikában – Számít a nemek aránya a munkahelyen?

2024. március 12. 20:53

Szemünk előtt zajlik az e-kereskedelem mohácsi csatája

2024. március 6. 13:05