Kaspersky Lab ha pubblicato un’analisi approfondita del malware e dell’infrastruttura server di comando e controllo (C&C) che fanno parte della campagna di cyber-spionaggio chiamata ‘Crouching Yeti’.
Oltre 2800 vittime accertate
L’inizio della campagna risale alla fine del 2010 ma risulta attiva ancora oggi e mira a nuove vittime ogni giorno.
Energetic Bear/Crouching Yeti è coinvolto in una serie di campagne composte da attacchi persistenti di tipo avanzato (Apt). Secondo la ricerca di Kaspersky Lab, le vittime riguardano un più ampio numero di imprese di quante previste inizialmente. I settori nei quali sono state identificate il maggior numero di vittime sono: industriale/meccanico; manifatturiero; farmaceutico; costruzioni; istruzione; Information Technology.
Il numero totale di vittime accertate è di oltre 2.800 in tutto il mondo, tra le quali i ricercatori di Kaspersky Lab hanno identificato 101 organizzazioni. La lista delle vittime indica che l’interesse di Crouching Yeti sono gli obiettivi strategici, ma non solo; dimostra anche interessi verso istituzioni non così ovvie. Gli esperti di Kaspersky Lab credono che potrebbe trattarsi di vittime collaterali, per cui potrebbe essere più opportuno considerare Crouching Yeti non solo come una campagna che mira ad una specifica area di interesse, ma come una campagna più ampia che rivolge il proprio interesse a diversi settori.
Le organizzazioni vittime di questa campagna si trovano per lo più negli Stati Uniti, Spagna, Giappone, Germania, Francia, Italia, Turchia, Irlanda, Polonia e Cina. Data la natura delle vittime che sono state colpite, l’impatto che questa campagna potrebbe avere su queste organizzazioni è la divulgazione di dati sensibili come informazioni commerciali riservate e know-how.
Cinque tipi di strumenti nocivi e 27 differenti versioni
Crouching Yeti è sicuramente una campagna moto sofisticata. Ad esempio, i criminali che si nascondono dietro a questo attacco non hanno utilizzato nessun exploit zero-day, solo exploit facilmente recuperabili su Internet. Ma questo non ha impedito alla campagna di rimanere nascosta per diversi anni.
I ricercatori di Kaspersky Lab hanno trovato prove dell’esistenza di cinque tipi di strumenti nocivi utilizzati dagli aggressori per impossessarsi di informazioni preziose dai sistemi compromessi: Havex Trojan (il più utilizzato); SysMain Trojan; Backdoor ClientX; Backdoor Karagany e stealer collegati; Lateral movement e tool second stage.
In totale, i ricercatori di Kaspersky Lab hanno scoperto 27 versioni diverse di questo programma dannoso e diversi moduli aggiuntivi tra cui alcuni strumenti finalizzati alla raccolta di dati provenienti da sistemi di controllo industriale.
Per il comando e controllo, Havex e gli altri strumenti nocivi usati da Crouching Yeti, si connettono a una vasta rete di siti web violati. Questi siti ospitano informazioni sulla vittima e smistano comandi ai sistemi infetti oltre che moduli di malware aggiuntivi.
L’elenco dei moduli scaricabili include strumenti che servono per rubare password e contatti di Outlook, catturare screenshot e moduli per la ricerca e il furto di alcuni tipi di file: documenti di testo, fogli di calcolo, database, file Pdf, unità virtuali, file protetti da password, chiavi di sicurezza pgp, e così via.
Spionaggio industriale
Allo stato attuale, Havex Trojan è noto per avere due moduli molto speciali finalizzati a raccogliere e trasmettere ai criminali i dati provenienti da specifici ambienti It industriali. Il primo è il modulo scanner Opc, progettato per raccogliere dati estremamente dettagliati sui server Opc in esecuzione nella rete locale. Tali server sono di solito utilizzati negli ambienti in cui sono in funzione diversi sistemi di automazione industriale.
Il modulo scanner Opc è accompagnato da uno strumento di scansione della rete. Questo modulo è progettato per eseguire la scansione della rete locale, cercare tutti i computer collegati alle porte relative al software Opc/Scada e provare a connettersi a tali host per individuare quale potenziale sistema sia in esecuzione e trasmettere tutti i dati raccolti ai server di comando e controllo.
Nicolas Brulez, Principal Security Researcher di Kaspersky Lab, ha dichiarato: “Energetic Bear è stato il primo nome dato a questa campagna da Crowd Strike in base alla loro terminologia – ha spiegato Nicolas Brulez, Principal Security Researcher di Kaspersky Lab -. Bear fa riferimento al paese di origine in quanto Crowd Strike ritiene che la campagna sia di origine russa. Kaspersky Lab sta ancora indagando su tutte i collegamenti esistenti; tuttavia, al momento non sono presenti prove sufficienti per stabilirne l’origine. Anche la nostra analisi dimostra che l’attenzione globale dei criminali è molto più ampia e non mira solo ai produttori di energia. Sulla base di questi dati, abbiamo deciso di dare un nuovo nome al fenomeno: lo Yeti ricorda un po’ un orso, ma ha un’origine misteriosa”.
