A Kaspersky Lab descobriu a infraestrutura usada pelo conhecido grupo de APTs de idioma russo Crouching Yeti, também conhecido como Energetic Bear, que inclui servidores comprometidos em todo o mundo. De acordo com a pesquisa, foram atingidos vários servidores em diversos países desde 2016, às vezes para obter acesso a outros recursos. Outros, inclusive alguns que hospedam sites russos, foram usados como "watering holes".
O grupo Crouching Yeti usa uma ameaça persistente avançada (APT) rastreada pela Kaspersky Lab desde 2010. O grupo é conhecido por atacar o setor industrial ao redor do mundo, concentrando-se principalmente em instalações elétricas com o objetivo de roubar dados valiosos dos sistemas atingidos. Uma das técnicas que o grupo emprega amplamente são os ataques "watering hole", em que os invasores injetam um link nos sites para direcionar os visitantes a um servidor malicioso.
Recentemente, a Kaspersky Lab descobriu vários servidores comprometidos pelo grupo, pertencentes a diferentes organizações sediadas na Rússia, nos EUA, na Turquia e em países europeus, mas que não são apenas indústrias. Segundo os pesquisadores, essas organizações foram atingidas em 2016 e 2017 com finalidades diferentes. Portanto, além de servir como "watering holes", em alguns casos, elas foram usadas como intermediários para conduzir ataques a outros recursos.
Durante a análise dos servidores infectados, os pesquisadores identificaram vários sites e servidores utilizados por organizações na Rússia, EUA, Europa, Ásia e América Latina que tinham sido esquadrinhados pelos invasores com diversas ferramentas, possivelmente para encontrar servidores que pudessem ser usados para se estabelecer e hospedar instrumentos de invasão e posteriormente realizar ataques. Alguns dos sites sondados devem ter interessado aos invasores como possíveis "waterholes". A variedade de sites e servidores que chamaram sua atenção é muito ampla. Os pesquisadores da Kaspersky Lab descobriram que os invasores examinaram inúmeros sites de vários tipos, como lojas e serviços on-line, organizações públicas, ONGs, fábricas, etc.
Além disso, os especialistas detectaram que o grupo usou ferramentas maliciosas disponíveis publicamente, criadas para analisar servidores, procurar e coletar informações. Além disso, foi descoberto um arquivo sshd modificado com um backdoor pré-instalado. Ele foi usado para substituir o arquivo original e podia ser autorizado usando uma 'senha mestra'.
"O Crouching Yeti é um grupo importante de idioma russo que está ativo há muitos anos e ainda atinge indústrias com êxito por meio de ataques de "watering hole", além de outras técnicas. Nossas descobertas mostram que o grupo comprometeu servidores não apenas para estabelecer "watering holes", mas também para examinar melhor as vítimas, e usou ativamente ferramentas de código aberto que tornaram sua identificação posterior muito mais difícil", disse Vladimir Dashchenko, chefe do grupo de pesquisa de vulnerabilidades da ICS CERT da Kaspersky Lab. "As atividades do grupo, como a coleta inicial de dados, o roubo de dados de autenticação e a verificação dos recursos, são usadas para lançar outros ataques. A diversidade dos servidores infectados e recursos examinados sugere que o grupo pode servir a interesses de terceiros", adicionou.
A Kaspersky Lab recomenda que as organizações implementem uma estrutura abrangente contra ameaças avançadas, composta de soluções de segurança dedicadas à detecção de ataques direcionados e à resposta a incidentes, junto com serviços especializados e inteligência de ameaças.