Kaspersky Lab scopre l’infrastruttura di Crouching Yeti

TREND MICRO

Kaspersky Lab ha scoperto l’infrastruttura utilizzata dal famoso gruppo APT di lingua russa Crouching Yeti, conosciuto anche come Energetic Bear; l’infrastruttura include anche diversi server compromessi in tutto il mondo

Crouching Yeti è un gruppo APT di lingua russa che Kaspersky Lab monitora dal 2010. È conosciuto in tutto il mondo per avere come obiettivo principale il settore industriale, con un focus primario sulle strutture energetiche e con lo scopo principale di rubare dati preziosi dai sistemi. Una delle tecniche più utilizzate dal gruppo è l’attacco “watering hole”: gli aggressori modificano i siti web inserendo un link che reindirizza i visitatori a un server compromesso.

Di recente Kaspersky Lab ha scoperto diversi server attaccati dal gruppo, appartenenti ad organizzazioni con sede in Russia, Stati Uniti, Turchia e vari paesi europei, non solo relativi a realtà industriali. Secondo i ricercatori, sono stati colpiti tra il 2016 e il 2017 con scopi diversi. Pertanto questi attacchi, al di là di essere “watering hole”, in alcuni casi sono stati utilizzati come “ponte” per condurre azioni criminali verso altre risorse.

Nel processo di analisi dei server infetti, i ricercatori hanno identificato numerosi siti web e server utilizzati da organizzazioni in Russia, Stati Uniti, Europa, Asia e America Latina che gli aggressori avevano esaminato con vari tool per trovare un server che potesse essere utilizzato come punto d’accesso per ospitare i tool dei cybercriminali e poi sviluppare un attacco. Alcuni dei siti presi in esame potrebbero essersi rivelati interessanti per gli aggressori come possibili “watering hole”. Il range di siti web e server che ha catturato la loro attenzione è ampio; infatti i ricercatori di Kaspersky Lab hanno scoperto che gli aggressori hanno esaminato numerosi siti web di tante tipologie, inclusi quelli di negozi e servizi online, istituzioni pubbliche, organizzazioni non governative, industrie manifatturiere, ecc.

Leggi anche:  Fortinet parte dei nuovi servizi X-Force di IBM Security per la gestione delle minacce

È stato inoltre scoperto che il gruppo utilizzava tool dannosi open-source, progettati per analizzare i server e per cercare e raccogliere informazioni. In più è stato scoperto un file sshd modificato con una backdoor preinstallata. Tutto ciò è stato usato per sostituire il file originale in modo da essere autorizzato con una “master password”.7

“Crouching Yeti è un famigerato gruppo di lingua russa attivo da molti anni che si rivolge con successo alle organizzazioni industriali sfruttando attacchi di vario genere, tra cui quelli “watering hole”. Gli ultimi risultati mostrano che il gruppo ha compromesso i server non solo per creare dei “watering hole”, ma anche per ulteriori osservazioni, utilizzando tool open-source che hanno reso molto più difficile la loro successiva identificazione. Le attività del gruppo, come la raccolta iniziale dei dati, il furto dei dati di autenticazione e la scansione delle risorse, vengono sfruttate per lanciare ulteriori attacchi. La diversità dei server infetti e delle risorse scansionate suggerisce che il gruppo possa operare nell’interesse di terze parti” ha commentato Vladimir Dashchenko, Head of Vulnerability Research Group di Kaspersky Lab ICS CERT.

Kaspersky Lab consiglia alle organizzazioni di implementare un framework completo contro le minacce avanzate che comprenda soluzioni di sicurezza dedicate al rilevamento di attacchi mirati e all’incident response, insieme a servizi di expertise e intelligence sulle minacce. Kaspersky Threat Management and Defense, la piattaforma che protegge dal rischio di attacchi mirati, rileva un attacco sin dalle sue prime fasi, analizzando le attività sospette della rete; Kaspersky EDR, invece, offre visibilità dei dati degli endpoint, capacità di indagine e automazione nelle risposte. Tutto questo è potenziato dall’intelligence sulle minacce globali e dai servizi di Kaspersky Lab, specializzati nella ricerca delle minacce e nell’incident response.

Leggi anche:  Quasi 1 dipendente su 2 riceve attacchi phishing giornalieri