Kaspersky Lab descobre como grupo espionava empresas ao redor do mundo

23 abr 2018
Ameaças Business Notícias

A Kaspersky Lab descobriu a infraestrutura usada pelo conhecido grupo de APTs de idioma russo Crouching Yeti, também conhecido como Energetic Bear, que inclui servidores comprometidos em todo o mundo. De acordo com a pesquisa, foram atingidos vários servidores em diversos países desde 2016, às vezes para obter acesso a outros recursos. Outros, inclusive alguns que hospedam sites russos, foram usados como “watering holes”.

O grupo Crouching Yeti usa uma ameaça persistente avançada (APT) rastreada pela Kaspersky Lab desde 2010. O grupo é conhecido por atacar o setor industrial ao redor do mundo, concentrando-se principalmente em instalações elétricas. O objetivo é roubar dados valiosos dos sistemas atingidos. Uma das técnicas que o grupo emprega amplamente são os ataques “watering hole”, em que os invasores injetam um link nos sites para direcionar os visitantes a um servidor malicioso.
Recentemente, a Kaspersky Lab descobriu vários servidores comprometidos pelo grupo, pertencentes a diferentes organizações sediadas na Rússia, nos EUA, na Turquia e em países europeus, mas que não são apenas indústrias. Segundo os pesquisadores, essas organizações foram atingidas em 2016 e 2017 com finalidades diferentes. Portanto, além de servir como “watering holes”, em alguns casos foram usadas como intermediários para conduzir ataques a outros recursos.

Durante a análise dos servidores infectados, os pesquisadores identificaram vários sites e servidores utilizados por organizações na Rússia, EUA, Europa, Ásia e América Latina que tinham sido esquadrinhados pelos invasores com diversas ferramentas, possivelmente para encontrar servidores que pudessem ser usados para se estabelecer e hospedar instrumentos de invasão e posteriormente realizar ataques. Alguns dos sites sondados devem ter interessado aos invasores como possíveis “waterholes”. A variedade de sites e servidores é muito ampla. Os pesquisadores da Kaspersky Lab descobriram que os invasores examinaram sites de vários tipos, como lojas e serviços on-line, organizações públicas, ONGs, fábricas etc.

Além disso, os especialistas detectaram que o grupo usou ferramentas maliciosas disponíveis publicamente, criadas para analisar servidores, procurar e coletar informações. A KL também descobriu um arquivo sshd modificado com um backdoor pré-instalado. Ele foi usado para substituir o arquivo original e podia ser autorizado usando uma ‘senha mestra’.

“O Crouching Yeti é um grupo importante de idioma russo que está ativo há muitos anos e ainda atinge indústrias com êxito. Nossas descobertas mostram que o grupo comprometeu servidores não apenas para estabelecer “watering holes”, mas também para examinar melhor as vítimas, e usou ativamente ferramentas de código aberto que tornaram sua identificação posterior muito mais difícil”, disse Vladimir Dashchenko, chefe do grupo de pesquisa de vulnerabilidades da ICS CERT da Kaspersky Lab. “As atividades do grupo, como a coleta inicial de dados, o roubo de dados de autenticação e a verificação dos recursos, são usadas para lançar outros ataques. A diversidade dos servidores infectados e recursos examinados sugere que o grupo pode servir a interesses de terceiros”, adicionou.

A Kaspersky Lab recomenda que as organizações implementem uma estrutura abrangente contra ameaças avançadas, composta de soluções de segurança dedicadas à detecção de ataques direcionados e à resposta a incidentes, junto com serviços especializados e inteligência de ameaças. Como parte da solução Kaspersky Threat Management and Defense, nossa plataforma contra ataques direcionados detecta os ataques em seus estágios iniciais, analisando qualquer atividade de rede suspeita, enquanto o Kaspersky EDR proporciona melhor visibilidade dos endpoints, funcionalidades de investigação e respostas automatizadas. Esses recursos são aprimorados com a inteligência de ameaças global e os serviços de profissionais da Kaspersky Lab, especializados em busca de ameaças e resposta a incidentes.

Mais detalhes sobre a atividade recente do Crouching Yeti estão disponíveis no site da ICS CERT da Kaspersky Lab.

Com informações da Jeffrey Group