A Kaspersky Lab revelou nesta segunda-feira, 4, uma análise completa do malware e da infraestrutura dos servidores de comando e controle (C&C), da campanha de ciberespionagem nomeada pela nossa Equipe Global de Análise e Investigação (GReAT, sigla em inglês) como Crouching Yeti. Os alvos dessa campanha incluem vítimas de vários setores estratégicos, como o empresarial e acadêmico.
O Crouching Yeti, também chamado de Energetic Bear, está envolvido em muitas campanhas de ameaças persistentes avançadas (APT), ativas desde os últimos meses de 2010. Segundo a investigação da Kaspersky Lab, suas vítimas parecem estar em uma gama maior de empresas do que anteriormente se pensava. O maior número de vítimas identificadas pertence aos seguintes setores:
• Industrial/maquinaria
• Fabricação
• Farmacêutica
• Construção
• Educação
• Tecnologia de informação
O número total de vítimas conhecidas supera 2,8 mil em todo o mundo, das quais os investigadores da Kaspersky Lab conseguiram identificar 101 organizações. As organizações atacadas se encontram principalmente nos Estados Unidos, Espanha, Japão, Alemanha, França, Itália, Turquia, Irlanda, Polônia e China. Na América Latina, companhias na Argentina, Brasil, Chile, Colômbia, Equador, Guatemala, México, Paraguai, Peru, Porto Rico, República Dominicana e Venezuela estão entre as vítimas. Esta lista parece indicar que o interesse do Crouching Yeti é centrado em alvos estratégicos, mas também mostra um interesse do grupo em muitas outras instituições que não são tão óbvias.
Os especialistas da Kaspersky Lab acreditam que pode se tratar de vítimas colaterais, mas também poderia ser razoável redefinir o Crouching Yeti, não somente como uma campanha altamente dirigida a uma área de interesse muito específica, mas como uma ampla campanha de vigilância com interesses em diferentes setores.
Enquanto o Crouching Yeti realiza campanhas massivas de ciberespionagem, não há evidências de que a ameaça utiliza exploits ou malware sofisticados. Por exemplo, os criminosos não utilizam exploits zero day, somente exploits que estão amplamente disponíveis na Internet. Os investigadores da Kaspersky Lab encontraram provas da existência de cinco tipos de ferramentas maliciosas utilizadas pelos criminosos para conseguir informação valiosa dos sistemas comprometidos:
• O trojan Havex
• O trojan Sysmain
• O backdoor ClientX
• O backdoor Karagany e trojans relacionados
• "Lateral Movement" e ferramentas de segunda etapa
A ferramenta mais amplamente utilizada é o Trojan Havex. Os investigadores da Kaspersky Lab descobriram um total de 27 versões diferentes desse programa malicioso e muitos módulos adicionais, incluindo ferramentas destinadas a recompilar dados de sistemas de controle industrial.
No centro de comando e controle, o Havex e as demais ferramentas maliciosas utilizadas pelo Crouching Yeti se conectam a uma ampla rede de websites hackeados. Estes sites abrangem a informação da vítima e servem de comando aos sistemas infectados junto com módulos adicionais do malware.
A lista dos módulos descarregáveis inclui ferramentas para o roubo de senhas e contatos de Outlook, captura da tela e também, módulos de busca e roubo de certos tipos de arquivos: documentos de texto, planilhas, bases de dados, arquivos PDF, unidades virtuais, arquivos protegidos por senhas, chaves de segurança PGP, etc.
Espionagem industrial.
Atualmente, o Trojan Havex é conhecido por ter dois módulos muito especiais destinados a coletar e transmitir para os atacantes os dados de ambientes de TI industriais específicos. O primeiro é o módulo de análises OPC, que esta desenhado para coletar os dados extremamente detalhados dos servidos OPC que correm na rede local. Tais servidores são normalmente utilizados onde operam sistemas de automação industrial.
O módulo de análises OPC vem acompanhado por uma ferramenta de escaneamento de redes. Este módulo é desenhado para analisar a rede local, buscar todos os computadores conectados com o software OPC/SCADA, tentar se conectar a estes hosts para identificar que sistema OPC/SCADA potencial está rodando, além de transmitir toda a informação coletada para os servidores de comando e controle.
Origem misteriosa
Os investigadores da Kaspersky Lab observaram muitas características que podem apontar para a origem dos criminosos por trás dessa campanha. Em particular, realizaram análises da hora dos 154 arquivos e chegaram à conclusão de que a maioria das amostras foram coletadas entre as 06:00 e as 16:00 UTC, que poderiam coincidir com praticamente qualquer país da Europa, assim como da Europa Oriental.
Os especialistas também analisaram o idioma da ameaça. As marcas presentes no malware analisado estão em inglês (escrito por não nativos). Diferente das investigações anteriores dessa campanha, os especialistas da Kaspersky Lab não puderam chegar a uma conclusão definitiva a respeito de que este ator fosse de origem russa. Em quase 200 arquivos binários maliciosos e no conteúdo operacional relacionado existe uma falta total de conteúdo cirílico (ou o transliteração), ao contrario dos resultados documentados da Kaspersky Lab das investigações do Red October, Miniduke, Cosmicduke, Snake e TeamSpy. Além disso, foram encontradas pistas que observam o idioma francês e russo.
Nicolas Brulez, principal investigador de Segurança da Kaspersky Lab, comentou que "o Energetic Bear foi o nome que a CrowdStrike inicialmente deu a essa campanha de acordo com sua nomenclatura. "The Bear" (O Urso) é por atribuição e a CrowdStrike acredita que esta campanha tem origem russa. A Kaspersky Lab ainda investiga todas as pistas, mas no momento não temos nada definitivo em nenhuma direção. Também nossa análise demonstra que o enfoque global dos criminosos é muito mais amplo que só organizações produtoras de energia. Com base nestes dados, decidimos dar um novo nome para o fenómeno: um Yeti faz lembrar um urso, mas com uma origem misteriosa".
Os especialistas da Kaspersky Lab continuam investigando esta campanha ao mesmo tempo em que trabalham com organizações policiais e com a indústria. O texto completo da investigação está disponível no site Securelist.com