Bezpečnostní odborníci z Kaspersky Lab oznámili, že odhalili infrastrukturu známé ruskojazyčné kyberzločinecké skupiny Crouching Yeti, známé také jako Energetic Bear. Analýza podle nich ukázala, že kyberzločinci jejím prostřednictvím napadli od roku 2016 řadu serverů po celém světě, přičemž někdy chtěli prostřednictvím útoků získat přístup do systémů třetích stran, v jiných případech infrastrukturu využili k útokům typu watering hole.
Crouching Yeti je podle materiálu Kaspersky Lab ruskojazyčná hackerská skupina využívající pokročilé trvalé hrozby (APT), jejíž aktivity uvedená firma sleduje už od roku 2010. Nechvalně se proslavila útoky na různá průmyslová odvětví po celém světě, přičemž se primárně zaměřuje na energetický sektor. Jejím hlavním cílem je ukrást cenná data z IT systémů napadených firem. Nejčastěji skupina používá techniku watering hole útoků: útočníci umístí na webové stránky infikovaný odkaz, který uživatele přesměruje na škodlivý server.
Bezpečnostní analytici Kaspersky Lab tvrdí, že v nedávné době objevili několik firemních serverů společností z Ruska, USA, Turecka a Evropy, které napadli kyberzločinci z této skupiny. Společnosti s různým zaměřením čelily útokům v letech 2016 a 2017.
Při analyzování infikovaných serverů odborníci identifikovali několik internetových stránek a serverů používaných organizacemi v Rusku, USA, Evropě, Asii a Latinské Americe, které útočníci skenovali různými nástroji. Chtěli tak najít server, který by jim sloužil jako vstupní dveře do firemního systému, a kde by mohli implementovat své další nástroje potřebné pro kybernetický útok. Některé prozkoumané stránky mohli hackeři díky skenu označit za vhodné pro waterhole útok. Odborníci zjistili, že hackeři takto skenovali poměrně velké množství různých stránek, které patřily například online obchodům a službám, veřejným organizacím, nevládním organizacím nebo firmám ze zpracovatelského průmyslu.
Dalším zjištěním je, že skupina využívala veřejně dostupné nástroje pro serverovou analýzu a pro vyhledávání a shromažďování informací. Odborníci také našli modifikovaný sshd soubor s předinstalovaným backdoorem. Ten útočníci využili k nahrazení původního souboru a pro jeho autorizaci mohli použít „master password“.
„Aktivity této skupiny, mezi něž patří shromažďování dat, krádeže přístupových hesel nebo skenování firemních sítí, slouží hackerům k případnému iniciování dalších útoků. Na základě rozmanitosti infikovaných serverů a prohledaných sítí se dá předpokládat, že pracují pro třetí stranu,“ říká Vladimir Dashchenko, vedoucí výzkumu zranitelností v oddělení ICS CERT společnosti Kaspersky Lab.
Bezpečnostní odborníci organizacím doporučují, aby implementovaly komplexní bezpečnostní postupy zaměřující se na pokročilé hrozby. Jejich součástí by mělo být speciální řešení proti cíleným útokům, umožňující okamžitou reakci na napadení a poskytující služby threat intelligence.
