23 kwietnia 2018

Kaspersky Lab identyfikuje infrastrukturę cybergangu Crouching Yeti znanego z ataków na firmy przemysłowe

Kaspersky Lab zidentyfikował infrastrukturę wykorzystywaną przez znane rosyjskojęzyczne ugrupowanie cyberprzestępcze zwane Crouching Yeti lub Energetic Bear, która składa się z zainfekowanych serwerów zlokalizowanych na całym świecie. Z badania wynika, że od 2016 r. zaatakowane zostały liczne serwery w różnych państwach, niekiedy w celu uzyskania dostępu do innych zasobów.


Crouching Yeti to monitorowane przez Kaspersky Lab od 2010 r. rosyjskojęzyczne ugrupowanie APT (stosujące zaawansowane, długotrwałe zagrożenia), najbardziej znane z atakowania sektorów przemysłowych na całym świecie, w szczególności zakładów energetycznych, głównie w celu kradzieży cennych danych z systemów ofiar. Jedną z powszechnie stosowanych przez ugrupowanie technik jest przeprowadzanie ataków metodą "wodopoju" (ang. watering hole), w ramach których przestępcy wstrzykują do istniejących stron internetowych odsyłacze przekierowujące odwiedzających do szkodliwych zasobów.

Niedawno Kaspersky Lab wykrył wiele zainfekowanych przez to ugrupowanie serwerów należących do różnych organizacji zlokalizowanych w Rosji, Stanach Zjednoczonych, Turcji oraz państwach europejskich, które nie ograniczały się jedynie do przedsiębiorstw przemysłowych. Według badaczy zostały one zaatakowane w latach 2016-2017 w różnych celach. W niektórych przypadkach serwery te pośredniczyły podczas przeprowadzania ataków na inne zasoby.

W procesie analizowania zainfekowanych serwerów badacze zidentyfikowali liczne strony internetowe oraz zasoby wykorzystywane przez organizacje w Rosji, Stanach Zjednoczonych, Europie, Azji oraz Ameryce Łacińskiej, które atakujący skanowali przy użyciu różnych narzędzi. Celem było prawdopodobnie znalezienie serwerów, które mogłyby zostać wykorzystane do przechowywania narzędzi cyberprzestępczych, a następnie opracowania ataku. Zakres stron internetowych i serwerów, które zwróciły uwagę atakujących, jest szeroki (m.in. sklepy i serwisy internetowe, witryny organizacji publicznych, pozarządowych itd.).

Eksperci stwierdzili również, że ugrupowanie wykorzystywało publicznie dostępne szkodliwe narzędzia służące do analizowania serwerów oraz szukania i gromadzenia informacji.

Crouching Yeti to znane rosyjskojęzyczne ugrupowanie, które jest aktywne od wielu lat i nadal skutecznie atakuje organizacje przemysłowe, między innymi za pośrednictwem ataków metodą wodopoju. Z naszych ustaleń wynika, że ugrupowanie infekowało serwery nie tylko w celu zastawiania pułapek na użytkowników, ale również, by wykorzystywać je do dalszego wyszukiwania podatnych zasobów. Ponadto przestępcy aktywnie wykorzystywali narzędzia oparte na otwartym źródle, co znacznie utrudniło zidentyfikowanie szkodliwych działań. Aktywność gangu obejmująca wstępne gromadzenie danych, kradzież informacji umożliwiających uwierzytelnienie oraz skanowanie zasobów służy do przeprowadzania dalszych ataków. Różnorodność zainfekowanych serwerów i skanowanych zasobów sugeruje, że ugrupowanie może działać w interesie osób trzecich - powiedział Władimir Daszczenko, szef zespołu zajmującego się badaniem luk w zabezpieczeniach, Kaspersky Lab ICS CERT.

W celu zabezpieczenia się przed działaniami cybergangów takich jak Crouching Yeti Kaspersky Lab zaleca organizacjom wdrożenie wszechstronnego systemu ochrony przed zaawansowanymi zagrożeniami składającego się z wyspecjalizowanych rozwiązań bezpieczeństwa do wykrywania ataków ukierunkowanych oraz reagowania na incydenty, wraz z eksperckimi usługami i analizą zagrożeń. Przykładem takiego systemu jest platforma Kaspersky Threat Management and Defense zapewniająca ochronę przed atakami na wczesnych etapach poprzez analizowanie podejrzanej aktywności sieciowej. Z kolei rozwiązanie Kaspersky EDR zapewnia udoskonaloną widoczność punktów końcowych, możliwości przeprowadzenia cyfrowych śledztw oraz automatyzację reakcji. Wspomaga je globalna analiza zagrożeń oraz usługi eksperckie Kaspersky Lab specjalizujące się w aktywnym wyszukiwaniu zagrożeń i reagowaniu na incydenty.

Więcej szczegółów odnośnie niedawnej aktywności ugrupowania Crouching Yeti można znaleźć na stronie https://r.kaspersky.pl/5GH1h.

Informacje o Kaspersky Lab ICS CERT

Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) to globalny projekt uruchomiony przez Kaspersky Lab w 2016 r. w celu koordynacji działań producentów systemów automatyzacji, właścicieli i operatorów obiektów przemysłowych, jak również badaczy bezpieczeństwa IT ukierunkowanych na ochronę przedsiębiorstw przemysłowych przed cyberatakami. Kaspersky Lab ICS CERT koncentruje się głównie na identyfikowaniu potencjalnych i istniejących zagrożeń, których celem są systemy automatyzacji przemysłowej oraz przemysłowy Internet Rzeczy. W swoim pierwszym roku działania zespół zidentyfikował ponad 110 krytycznych luk w zabezpieczeniach produktów największych globalnych producentów przemysłowych systemów sterowania. Kaspersky Lab ICS CERT jest aktywnym członkiem i partnerem czołowych międzynarodowych organizacji, które opracowują rekomendacje dotyczące ochrony przedsiębiorstw przemysłowych przed cyberzagrożeniami. Więcej informacji znajduje się na stronie ics-cert.kaspersky.com.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.