{"id":10246,"date":"2018-04-23T17:06:37","date_gmt":"2018-04-23T20:06:37","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10246"},"modified":"2019-11-22T07:20:46","modified_gmt":"2019-11-22T10:20:46","slug":"crouching-yeti-apt-ics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/crouching-yeti-apt-ics\/10246\/","title":{"rendered":"Kaspersky Lab descobre como grupo espionava empresas ao redor do mundo"},"content":{"rendered":"

A Kaspersky Lab descobriu a infraestrutura usada pelo conhecido grupo de APTs de idioma russo Crouching Yeti<\/a>, tamb\u00e9m conhecido como Energetic Bear, que inclui servidores comprometidos em todo o mundo. De acordo com a pesquisa, foram atingidos v\u00e1rios servidores em diversos pa\u00edses desde 2016, \u00e0s vezes para obter acesso a outros recursos. Outros, inclusive alguns que hospedam sites russos, foram usados como \u201cwatering holes\u201d.<\/p>\n

O grupo Crouching Yeti usa uma amea\u00e7a persistente avan\u00e7ada (APT)<\/a> rastreada pela Kaspersky Lab desde 2010. O grupo \u00e9 conhecido por atacar o setor industrial<\/a> ao redor do mundo, concentrando-se principalmente em instala\u00e7\u00f5es el\u00e9tricas. O objetivo \u00e9 roubar dados valiosos dos sistemas atingidos. Uma das t\u00e9cnicas que o grupo emprega amplamente s\u00e3o os ataques \u201cwatering hole\u201d, em que os invasores injetam um link nos sites para direcionar os visitantes a um servidor malicioso.
\nRecentemente, a Kaspersky Lab descobriu v\u00e1rios servidores comprometidos pelo grupo, pertencentes a diferentes organiza\u00e7\u00f5es sediadas na R\u00fassia, nos EUA, na Turquia e em pa\u00edses europeus, mas que n\u00e3o s\u00e3o apenas ind\u00fastrias. Segundo os pesquisadores, essas organiza\u00e7\u00f5es foram atingidas em 2016 e 2017 com finalidades diferentes. Portanto, al\u00e9m de servir como \u201cwatering holes\u201d, em alguns casos foram usadas como intermedi\u00e1rios para conduzir ataques a outros recursos.<\/p>\n

Durante a an\u00e1lise dos servidores infectados, os pesquisadores identificaram v\u00e1rios sites e servidores utilizados por organiza\u00e7\u00f5es na R\u00fassia, EUA, Europa, \u00c1sia e Am\u00e9rica Latina que tinham sido esquadrinhados pelos invasores com diversas ferramentas, possivelmente para encontrar servidores que pudessem ser usados para se estabelecer e hospedar instrumentos de invas\u00e3o e posteriormente realizar ataques. Alguns dos sites sondados devem ter interessado aos invasores como poss\u00edveis \u201cwaterholes\u201d. A variedade de sites e servidores \u00e9 muito ampla. Os pesquisadores da Kaspersky Lab descobriram que os invasores examinaram sites de v\u00e1rios tipos, como lojas e servi\u00e7os on-line, organiza\u00e7\u00f5es p\u00fablicas, ONGs, f\u00e1bricas etc.<\/p>\n

Al\u00e9m disso, os especialistas detectaram que o grupo usou ferramentas maliciosas dispon\u00edveis publicamente, criadas para analisar servidores, procurar e coletar informa\u00e7\u00f5es. A KL tamb\u00e9m descobriu um arquivo sshd<\/em> modificado com um backdoor<\/a> pr\u00e9-instalado. Ele foi usado para substituir o arquivo original e podia ser autorizado usando uma \u2018senha mestra\u2019.<\/p>\n

\u201cO Crouching Yeti \u00e9 um grupo importante de idioma russo que est\u00e1 ativo h\u00e1 muitos anos e ainda atinge ind\u00fastrias com \u00eaxito. Nossas descobertas mostram que o grupo comprometeu servidores n\u00e3o apenas para estabelecer \u201cwatering holes\u201d, mas tamb\u00e9m para examinar melhor as v\u00edtimas, e usou ativamente ferramentas de c\u00f3digo aberto que tornaram sua identifica\u00e7\u00e3o posterior muito mais dif\u00edcil\u201d, disse Vladimir Dashchenko, chefe do grupo de pesquisa de vulnerabilidades da ICS CERT da Kaspersky Lab. \u201cAs atividades do grupo, como a coleta inicial de dados, o roubo de dados de autentica\u00e7\u00e3o e a verifica\u00e7\u00e3o dos recursos, s\u00e3o usadas para lan\u00e7ar outros ataques. A diversidade dos servidores infectados e recursos examinados sugere que o grupo pode servir a interesses de terceiros\u201d, adicionou.<\/p>\n

A Kaspersky Lab recomenda que as organiza\u00e7\u00f5es implementem uma estrutura abrangente contra amea\u00e7as avan\u00e7adas, composta de solu\u00e7\u00f5es de seguran\u00e7a dedicadas \u00e0 detec\u00e7\u00e3o de ataques direcionados e \u00e0 resposta a incidentes, junto com servi\u00e7os especializados e intelig\u00eancia de amea\u00e7as. Como parte da solu\u00e7\u00e3o Kaspersky Threat Management and Defense<\/a>, nossa plataforma contra ataques direcionados detecta os ataques em seus est\u00e1gios iniciais, analisando qualquer atividade de rede suspeita, enquanto o Kaspersky EDR proporciona melhor visibilidade dos endpoints, funcionalidades de investiga\u00e7\u00e3o e respostas automatizadas. Esses recursos s\u00e3o aprimorados com a intelig\u00eancia de amea\u00e7as global e os servi\u00e7os de profissionais da Kaspersky Lab, especializados em busca de amea\u00e7as e resposta a incidentes.<\/p>\n

Mais detalhes sobre a atividade recente do Crouching Yeti est\u00e3o dispon\u00edveis no site da ICS CERT<\/a> da Kaspersky Lab.<\/p>\n

Com informa\u00e7\u00f5es da Jeffrey Group<\/pre>\n","protected":false},"excerpt":{"rendered":"
Desde 2016 o grupo de amea\u00e7as avan\u00e7adas comprometeu diversos servidores em diferentes pa\u00edses\u00a0para roubos de dados industriais<\/p>\n","protected":false},"author":61,"featured_media":10247,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,14,1656],"tags":[71,1487,1488,990,221,1316],"class_list":{"0":"post-10246","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-news","10":"category-smb","11":"tag-apt","12":"tag-crouching-yeti","13":"tag-energetic-bear","14":"tag-ics","15":"tag-phishing","16":"tag-transparencia"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/crouching-yeti-apt-ics\/10246\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=10246"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10246\/revisions"}],"predecessor-version":[{"id":12945,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10246\/revisions\/12945"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/10247"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=10246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=10246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=10246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}