מחקר עומק של קספרסקי חושף את היקף הפעילות של מפלצת השלג יטי

על אף שקמפיין הריגול הדוב האנרגטי כבר נחשף בעבר, מחקר עומק של קספרסקי מצליח לזהות 101 ארגונים שנפגעו ממנו, ולהסיק מסקנות חדשות אודות היקף הקמפיין ויכולותיו, וכן לערער על מקורו הרוסי. כתוצאה מכך, מעבדת קספרסקי גם בוחרת להעניק לו שם חדש "יטי המשופף", על שם מפלצת השלג המסתורית. הקמפיין החל בסוף שנת 2010, וגם כיום הוא עדיין פעיל לחלוטין – ומכוון כלפי קורבנות חדשים על בסיס יומי.

 הדוב האנרגטי / יטי המשתופף, מעורב במספר קמפיינים של התקפות ממוקדות (APT's). על פי המחקר של מעבדת קספרסקי, נראה כי הקורבנות מגיעים מטווח רחב יותר של ארגונים מאשר סברו בעבר. עיקר הקורבנות משתייכים בעיקר למגזרים הבאים: תעשייה / מיכון, ייצור, פארמה, בינוי, חינוך וטכנולוגיות מידע.

המספר הכולל של קורבנות מוכרים בעולם עובר כעת את ה- 2800, מתוכם חוקרי מעבדת קספרסקי הצליחו לזהות 101 ארגונים. נראה כי רשימה זו של קורבנות מצביעה על העניין של יטי במטרות אסטרטגיות, אך היא גם מראה על עניין בקבוצה של גופים אחרים שאינם ברורים מאליהם. מומחי מעבדת קספרסקי מאמינים כי ייתכן שאלה נפגעים משניים, מה שמחייב להגדיר מחדש את יטי כקמפיין ריגול נרחב עם עניין במגזרים שונים, ולא כקמפיין ממוקד.

הארגונים המותקפים ממוקמים בעיקר בארה"ב, ספרד, יפן, גרמניה, צרפת, איטליה, תורכיה, אירלנד, פולין וסין. בהינתן אופיים של הקורבנות שזוהו, הפגיעה העיקרית שלהם היא דליפה של מידע רגיש מאוד כגון סודות מסחריים ונכסים אינטלקטואליים.

כלים זדוניים עם מגוון מודולים נוספים. יטי המשתופף אינו נתפס כקמפיין מתוחכם. לדוגמא, התוקפים לא השתמשו בפרצות יום אפס, אלא רק בפרצות הידועות באינטרנט. אך הדבר לא מנע מהקמפיין להשתופף מתחת לראדר זמן רב כל כך.

חוקרי מעבדת קספרסקי מצאו עדויות לקיומם של 5 סוגי כלים זדוניים ששימשו את התוקפים כדי לשלוף מידע יקר ערך

מהמערכות שנפגעו:

• Havex trojan
• Sysmain trojan
• The ClientX backdoor
• Karagany backdoor  וגונבים הקשורים אליו
• תנועה רוחבית וכלים מדרג שני

הכלי הנפוץ ביותר בשימוש היה הטרויאני Havex. באופן כללי, חוקרי מעבדת קספרסקי חשפו 27 גרסאות שונות של תוכנות קוד זדוני ומספר מודולים נוספים, כולל כלים המיועדים לאיסוף נתונים ממערכות בקרה תעשייתיות.

לצורך שליטה ובקרה, Havex וכלים זדוניים אחרים ששימשו במסגרת "יטי" התחברו לרשת גדולה של אתרים פרוצים. אתרים אלה אירחו את המידע מהקורבנות, ושלחו פקודות למערכות הפגועות יחד עם מודולים נוספים של הקוד הזדוני.

רשימת המודולים הניתנים להורדה עבור Havex כוללת כלים לגניבת סיסמאות ואנשי קשר באאוטלוק, לכידת מסך, וגם מודולים לחיפוש וגניבת קבצים מסוגים מסוימים: קבצי טקסט, גליונות נתונים, בסיסי נתונים, PDF, כוננים וירטואליים, קבצים מוגנים בסיסמא, מפתחות  PGP ועוד.

ריגול תעשייתי. כרגע ידוע כי לטרויאני Havex יש שני מודולים מיוחדים מאוד שנועדו לאסוף ולשדר נתונים מתוך סביבות IT תעשייתיות מסוימות. הראשון הוא מודול לסריקת OPC. מודול זה תוכנן כדי לאסוף מידע מפורט ביותר אודות שרתי OPC הפועלים ברשת המקומית. שרתים אלה משמשים בדרך כלל עבור מערכות אוטומציה תעשייתיות.

סורק ה- OPC מלווה בכלי סריקת רשת. מודול זה נועד לסרוק רשתות מקומיות, לחפש אחר כל המחשבים הרשומים בפורטים הקשורים לתוכנת OPC/SCADA, לנסות להתחבר למקורות אלה במטרה לזהות אילו מערכות OPC/SCADA פועלות, ולשדר את המידע שנאסף אל שרתי הפיקוד והשליטה.

מקור מסתורי. חוקרי מעבדת קספרסקי זיהו מספר מאפיינים אשר יכולים להצביע על המקור הלאומי של העבריינים שמאחורי הקמפיין. בעיקר, באמצעות ניתוח חותמות זמן של 154 קבצים הם הסיקו כי רוב הדוגמיות נוצרו בין 6:00 ל- 16:00 על פי השעון העולמי, מה שיכול להתאים לכל מדינה באירופה ובמזרח אירופה.

המומחים גם ביצעו ניתוח של שפת התוקפים. שורות הקוד בקוד הזדוני שנותח נכתבו באנגלית (ככל הנראה לא שפת האם של התוקפים). עם זאת, מומחי  מעבדת קספרסקי לא יכלו לקבוע בוודאות כי מקור הקמפיין הוא רוסי. בכמעט 200 מהדוגמיות הזדוניות והתעתיקים ובתוכן התפעולי הקשור בהם, לא נמצא תוכן קירילי. זאת, בשונה מממצאים של מעבדת קספרסקי במחקרי אוקטובר האדום, מינידיוק, קוסמיק דיוק, סנייק ו- TeamSpy. בנוסף, נמצאו רמזים המצביעים על דוברי צרפתית ושבדית.

לדברי ניקולאס ברולז, חוקר אבטחה ראשי במעבדת קספרסקי: " מעבדת קספרסקי עדיין חוקרת את כל הכיוונים האפשריים. כרגע אין סימנים ברורים לשום כיוון. הניתוח שלנו מראה כי המיקוד הבינלאומי של התוקפים הוא רחב מאוד".