מעבדת קספרסקי חשפה תשתית נרחבת של Crouching Yeti האחראית להתקפות על חברות תעשייתיות

Google+ Pinterest LinkedIn Tumblr +

מעבדת קספרסקי חשפה תשתית נרחבת, הכוללת שרתים פרוצים ברחבי העולם, אשר משמשת את קבוצת ה- APT המוכרת ודוברת הרוסיתCrouching Yeti (מוכרת גם כ- Energetic Bear). על פי המחקר של מעבדת קספרסקי, מאז 2016 נפגע מספר גדול של שרתים במדינות שונות, לעיתים על מנת להשיג גישה למשאבים אחרים, בהם אתרים שישמשו כ"בורות השקיה".

Crouching Yeti הוא גורם איום APT דובר רוסית, שמעבדת קספרסקי עוקבת אחריו מאז 2010. הוא מוכר בשל התקיפות שהוא מבצע על המגזר התעשייתי ברחבי העולם, עם התמקדות במתקני אנרגיה, בעיקר למטרת גניבת מידע בעל ערך ממערכות הקורבן. טכניקה אחת שהפעילה הקבוצה באופן נרחב היא התקפה באמצעות "בורות השקיה": התוקפים מזריקים לאתרים קוד המפנה את המבקרים אל אתרים זדוניים.

לאחרונה חשפה מעבדת קספרסקי מספר שרתים שנפגעו על ידי הקבוצה, אשר שייכים לארגונים שונים ברוסיה, ארה"ב, תורכיה ומדינות אירופאיות. השרתים אינם של חברות תעשייה בלבד. על פי החוקרים, הם נפגעו בשנים 2016 ו-2017 לצורך מטרות שונות. מעבר ליצירת בורות השקיה, במקרים מסוימים הם שימשו גם כאמצעי מתווך לביצוע התקפות על משאבים אחרים.

בתהליך הניתוח של השרתים הפגועים, החוקרים זיהו מספר אתרים ושרתים ששימשו ארגונים ברוסיה, ארה"ב, אירופה, אסיה ודרום אמריקה, שהתוקפים סרקו באמצעות כלים שונים. המטרה הייתה כנראה לאתר שרת שישמש כנקודת מוצא לאירוח כלי התקיפה ובהמשך לפתח ממנו התקפה. ייתכן שחלק מהאתרים שנסרקו לצורך הפיכתם לבורות השקיה. מגוון השרתים והאתרים שהיה על הכוונת של התוקפים הוא נרחב. חוקרי מעבדת קספרסקי גילו כי התוקפים סרקו מספר גדול של אתרים מסוגים שונים, כולל חנויות ושירותים מקוונים, ארגונים ציבוריים, ארגונים ללא מטרות רווח, יצרנים ועוד. 

בנוסף, המומחים גילו שהקבוצה השתמשה בכלים זדוניים הזמינים לציבור, אשר נועדו לצורך ניתוח של שרתים ולשם חיפוש ואיסוף מידע. בנוסף נחשף קובץ sshd שעבר התאמה כדי לכלול דלת אחורית. הוא שימש כדי להחליף את הקובץ המקורי.

"Crouching Yeti היא קבוצה דוברת רוסית ידועה אשר פעילה כבר שנים רבות, וממשיכה לתקוף בהצלחה ארגוני תעשייה, בין היתר באמצעות מתקפות של בורות השקיה. הממצאים שלנו מראים כי הקבוצה תקפה שרתים, לא רק כדי לייצר בורות השקיה, אלא גם לצורך ביצוע  סריקה נוספת, וכי היא עושה שימוש בכלים בקוד פתוח שמקשים מאוד על הזיהוי שלהם", אמר ולדימיר דשצ'נקו, ראש קבוצת חקר פרצות ב- ICS CERT של מעבדת קספרסקי.

"פעילויות הקבוצה, כגון איסוף נתונים ראשוני, גניבה של נתוני אימות, וסריקה של משאבים, משמשות כדי להוציא לפועל התקפות נוספות. מגוון השרתים שנפגעו והמשאבים שנסרקו, מצביעים על כך שייתכן והקבוצה פועלת עבור צד שלישי", הוסיף דשצ'נקו.

מעבדת קספרסקי ממליצה כי ארגונים יטמיעו הגנה מקיפה כנגד איומים מתקדמים, הכוללת פתרונות אבטחה ייעודיים לזיהוי התקפות ממוקדות ותגובה לאירועים, לצד שירותים מקצועיים ומודיעין איומים. כחלק מפתרון Kaspersky Threat Management and Defense, מזהה הפלטפורמה התקפות בשלב מוקדם באמצעות ניתוח של פעילות חשודה ברשת, בעוד Kaspersky EDR מספק שקיפות משופרת בנקודות הקצה, לצד יכולות חקירה ואוטומציה של תגובות. אלה מועצמים באמצעות מודיעין איומים ושירותים מקצועיים של מעבדת קספרסקי, עם התמחות בציד איומים ותגובה לאירועים.

שתף.

.