A Kaspersky Lab kiadta átfogó elemzését a vállalat Global Research and Analysis Team (GReAT) részlege által Crouching Yeti-nek nevezett kiberkémkedési kampány malware-éről, valamint parancs és vezérlő (C&C) szerveréről. A kutatók szerint a kampány 2010 végén indult, amely a mai napig aktív, és minden nap újabb áldozatokat vesz célba.
„A kampány először az Energetic Bear nevet kapta a CrowdStrike biztonsági cégtől, mivel úgy vélték, hogy a fenyegetés orosz eredetű. A Kaspersky Lab még mindig vizsgálja az összes létező kapcsolatot, jelenleg azonban egyetlen irányba sem mutatnak határozott szálak. Elemzésünk azt is kiderítette, hogy a támadók fókusza sokkal szélesebb, és nem csupán az energiaszolgáltatókra korlátozódik. Ezen információk birtokában döntöttünk úgy, hogy új nevet adunk a jelenségnek." - mondta Nicolas Brulez, a Kaspersky Lab vezető biztonsági kutatója.
Nem annyira „energikus"
Az Energetic Bear/Crouching Yeti számos, úgynevezett fejlett állandó fenyegetés (APT) kampányban vett részt. A Kaspersky Lab kutatása szerint áldozatai szélesebb körből kerülnek ki, mint azt korábban hitték. Az azonosított áldozatok legnagyobb számban a következő szektorokból kerültek ki: gépipar, gyártás, gyógyszeripar, építőipar, oktatás, információtechnológia.
Az ismert áldozatok száma világszerte meghaladja a 2800-at, melyek között a Kaspersky Lab kutatói 101 szervezetet tudtak azonosítani. Az áldozatok listája jól mutatja a Crouching Yeti érdeklődését a stratégiai célpontok iránt, ugyanakkor sok olyan intézményt is támadott, amelyek nem sorolhatók ebbe a csoportba. A Kaspersky Lab szakértői szerint ezek lehetnek másodlagos áldozatok, de ugyancsak ésszerű magyarázat lehet, hogy a Crouching Yeti nem csupán egy speciális területre fókuszáló, célzott kampány, hanem egyúttal egy széles körű felderítő művelet, amely több különböző szektor iránt mutat érdeklődést.
A megtámadott szervezetek többsége az Egyesült Államokban, Spanyolországban és Japánban működik, de szép számmal található belőlük Németországban, Franciaországban, Olaszországban, Törökországban, Írországban, Lengyelországban és Kínában. Az ismert áldozatok jellegének ismeretében a támadások legkellemetlenebb eredménye a bizalmas adatok, például üzleti titkok és know-how információk illetéktelen kezekbe kerülése lehetett.
Ipari kémkedés: rosszindulatú eszközök több kiegészítő modullal
A Crouching Yeti nem nevezhető kifinomult kampánynak. Például a támadók nem vesznek igénybe a nulladik napi sérülékenységeket kihasználó eszközkészleteket, csak olyanokat, amelyek széles körben elérhetők az interneten. Ez azonban nem gátolta abban, hogy sok éven keresztül eredményesen működjön.
A Kaspersky Lab kutatói ötféle típusú rosszindulatú eszköz bevetésére találtak bizonyítékokat. Ezeket az eszközöket a feltört rendszereken található értékes információk ellopására használták:
- Havex trójai
- Sysmain trójai
- ClientX backdoor
- Karagany backdoor és a kapcsolódó adatlopók
- Oldalirányú mozgást megvalósító és a második szakaszban használt eszközök
A legszélesebb körben használt eszköz a Havex trójai: ennek a rosszindulatú programnak 27 különféle változatát fedezték fel a Kaspersky Lab kutatói, valamint több kiegészítő modulját, többek között az ipari vezérlő rendszerekből adatot gyűjtő eszközöket. A Kaspersky Lab termékei észlelik és irtják a Havex-nek ebben a kampányban használt összes változatát.
A parancsokért és a vezérlésért a Havex és a Crouching Yeti által használt többi rosszindulatú eszköz feltört webhelyek kiterjedt hálózatához csatlakozik. Ezek a webhelyek tárolják az áldozatokra vonatkozó információkat, továbbá szolgáltatják a kiegészítő malware modulokat és a fertőzött rendszereket irányító parancsokat.
A letölthető modulok között találhatók eszközök a jelszavak és az Outlook kapcsolatok ellopására, a képernyőtartalmak rögzítésére, valamint bizonyos típusú fájlok – szöveges dokumentumok, táblázatok, PDF fájlok, virtuális meghajtók, jelszóval védett fájlok, pgp biztonsági kulcsok stb. – megkeresésére és ellopására.
Jelenleg a Havex trójai két olyan igen speciális modulja ismert, amelyek funkciója az ipari IT környezetekből származó adatok összegyűjtése és továbbítása a támadóknak. Az OPC szkenner modul a helyi hálózatokban működő OPC szerverekről gyűjt igen részletes adatokat. Ilyen típusú szervereket azokban az üzemekben használnak, ahol több ipari automatizációs rendszer működik. A második modul egy hálózatszkennelő eszköz, amelyet a helyi hálózat átvizsgálására és az OPC/SCADA szoftverhez tartozó portokat figyelő összes számítógép felkutatására terveztek, valamint arra, hogy próbáljon meg kapcsolódni ezekhez a gépekhez, hogy azonosítsa, mely lehetséges OPC/SCADA rendszer fut. További funkciója a modulnak, hogy az összes összegyűjtött adatot eljuttassa a parancs és vezérlő szervereknek.
Rejtélyes eredet
A Kaspersky Lab kutatói számos meta funkciót figyeltek meg, amelyekből kideríthető lehet a kampány mögött álló bűnözők nemzeti hovatartozása. Időbélyeg elemzést végeztek 154 fájlon, és megállapították, hogy a legtöbb minta greenwichi idő szerint 6:00 és 16:00 között készült, vagyis bármelyik európai, illetve kelet-európai ország szóba jöhet.
A szakértők ugyancsak elemezték a szerzők nyelvét. A vizsgált malware-ben található karaktersorozatok angol nyelvűek, amelyeket nem anyanyelvi személyek írtak. A közel 200 rosszindulatú bináris fájlban és kapcsolódó anyagban egyáltalán nem lelhetők fel cirill betűs tartalmak (vagy átiratok), nem úgy, mint a Red October, a Miniduke, a Cosmicduke, a Snake és a TeamSpy esetében. Ugyanakkor találtak francia és svéd anyanyelvű személyekre utaló nyelvi nyomokat.
A Kaspersky Lab szakértői folytatják a kampány kutatását, miközben együttműködnek a rendvédelmi szervekkel és az iparági partnerekkel. A kutatás teljes szövege megtalálható a Securelist.com webhelyen.
