Crouching Yeti: Μια ενεργή εκστρατεία κατασκοπείας με περισσότερους από 2.800 στόχους παγκοσμίως

• Το Crouching Yeti στράφηκε και εναντίον στόχων στην Ελλάδα και την ευρύτερη Νοτιοανατολική Ευρώπη

Η Kaspersky Lab προχώρησε στη δημοσίευση νέας ανάλυσηςσχετικά με το κακόβουλο λογισμικό και την υποδομή του Command & Controlserver που σχετίζονται με την εκστρατεία ψηφιακής Crouching Yeti, όπως έχει καταχωρηθεί από τους ειδικούς της Ομάδας Global Research and Analysis της εταιρείας. Η εκστρατεία τέθηκε σε ισχύ το 2010, ενώ βρίσκεται σίγουρα σε λειτουργίαακόμη και σήμερα, βάζοντας στο στόχαστρο νέα θύματα καθημερινά. Σημειώνεται ότι η συγκεκριμένη εκστρατεία είναι γνωστή και ως EnergeticBear.

Ο Nicolas Brulez, Principal Security Researcher της KasperskyLab, δήλωσε: «Η εκστρατεία αυτή είχε αρχικά ονομαστεί Energetic Bear από την εταιρεία CrowdStrike, σύμφωνα με την ονοματολογία που χρησιμοποιεί. Το συνθετικό “Bear” (σ.σ. αρκούδα) αναφέρεται στην πιθανή προέλευσητης εκστρατείας, καθώς η CrowdStrike πιστεύει ότι έχει ξεκινήσει από τη Ρωσία. Η Kaspersky Lab εξακολουθεί να διερευνά όλα τα υπάρχοντα στοιχεία. Ωστόσο, αυτή τη στιγμή, δεν υπάρχουν ισχυρές ενδείξεις προς οποιαδήποτε κατεύθυνση. Επίσης, η ανάλυσή μας δείχνει ότι η παγκόσμια στόχευση των επιτιθέμενωνεκτείνεται πέρα από τους παραγωγούς ενέργειας, όπου φαίνεται να είχε εστιάσει αρχικά η εκστρατεία. Με βάση αυτά τα δεδομένα, αποφασίσαμε να δώσουμε ένα νέο όνομα στην εκστρατεία. Το Yeti θυμίζει αρκούδα, αλλά η προέλευση του είναι μυστηριώδης».

Το Crouching Yeti εμπλέκεται σε αρκετές εκστρατείες τύπου APT (Advanced Persistent Threat). Σύμφωνα με έρευνα της Kaspersky Lab, τα θύματα καλύπτουν ένα ευρύ φάσμα επιχειρήσεων και οργανισμών. Τα περισσότερα από τα αναγνωρισμένα θύματα προέρχονται από τους εξής τομείς: βιομηχανία/μηχανικός εξοπλισμός, μεταποίηση, φαρμακευτική βιομηχανία, κατασκευές, παιδεία και πληροφορική.

Συνολικά, τα θύματα που έχουν εντοπιστεί ξεπερνούν τα 2.800 παγκοσμίως, εκ των οποίων οι ερευνητές της Kaspersky Lab ήταν σε θέση να αναγνωρίσουν 101 επιχειρήσεις/ οργανισμούς. Βάσει της σχετικής λίστας, το Crouching Yeti φαίνεται να εστιάζει σε στρατηγικούς στόχους. Ωστόσο, φαίνεται επίσης ότι το ενδιαφέρον των επιτιθέμενων τραβούν και άλλοι, όχι τόσο «προφανείς»,στόχοι. Οι ειδικοί της Kaspersky Lab πιστεύουν ότι οι τελευταίοιενδεχομένως να αποτελούν «παράπλευρα θύματα». Ωστόσο, ενδεχομένως να έχει λογική και η θεώρηση του Crouching Yeti όχι μόνο ως μιας ιδιαίτερα στοχευμένης εκστρατείας με εστίαση σε μια πολύ συγκεκριμένη περιοχή ενδιαφέροντος, αλλά και ως μιας ευρείας εκστρατείας παρακολούθησης με ενδιαφέρον για διάφορους τομείς.Οι εταιρείες και οι οργανισμοί που δέχθηκαν επίθεση βρίσκονται κυρίως στις ΗΠΑ, στην Ισπανία και στην Ιαπωνία.

Εκτός όμως από τις παραπάνω χώρες, το Crouching Yeti είχε δραστηριότητα και στην Ελλάδα. Ειδικά για τη χώρα μας, η έρευνα της Kaspersky Labαν αγνώρισε ότι η εκστρατεία έπληξε το δίκτυο ενός δημόσιου ακαδημαϊκού οργανισμού έρευνας και τεχνολογίας, καθώς και το παράρτημα μιας πολυεθνικής εταιρείας υπηρεσιών ταχυμεταφορών (courier). Επίσης, το Crouching Yeti στράφηκε εναντίον διαφορετικών ειδών στόχων και στην ευρύτερη περιοχή της Νοτιοανατολικής Ευρώπης. Μεταξύ άλλων, στα θύματα του περιλαμβάνονται ένας διαχειριστής υπολογιστικών δικτύων υψηλής ταχύτητας στην Τουρκία, ενώ στην Κροατία, θύματα έπεσαν ένα ακαδημαϊκό/ ερευνητικό δίκτυο και ένα ινστιτούτο Φυσικής.

Δεδομένης της φύσης των θυμάτων που έχουν αναγνωριστεί, η βασική επίπτωση γι’αυτά είναι η διαρροή ιδιαίτερα ευαίσθητων πληροφοριών, όπωςεμπορικά μυστικά, τεχνογνωσία κ.α.

Βιομηχανική κατασκοπεία: Κακόβουλα εργαλεία με πολλαπλές πρόσθετες μονάδες

Το Crouching Yeti δεν είναι μια ιδιαίτερη περίπλοκη εκστρατεία. Για παράδειγμα, οι επιτιθέμενοι δεν χρησιμοποίησαν zero-day ευπάθειες, αλλά προγράμματα που είχαν αναπτυχθεί για ήδη γνωστές ευπάθειες. Ωστόσο, αυτό δεν εμπόδισε την εκστρατείανα παραμείνει απαρατήρητη για αρκετά χρόνια.

Οι ερευνητές της Kaspersky Lab έχουν βρει αποδείξεις για την ύπαρξη πέντε τύπων κακόβουλων εργαλείων, τα οποία χρησιμοποιήθηκαν από τους επιτιθέμενουςγια την απόσπαση πολύτιμων πληροφοριών από τα παραβιασμένα συστήματα:

• Το Havex trojan
• Το Sysmain trojan
• Το ClientX backdoor
• Το Karaganybackdoorκαισχετικά προγράμματα stealers
• Παράπλευρες κινήσεις και εργαλεία δεύτερουεπιπέδου

Το Havex Trojan ήταν το εργαλείο που χρησιμοποιήθηκε περισσότερο. Συνολικά, οι ερευνητές της Kaspersky Lab ανακάλυψαν 27 διαφορετικές εκδοχές αυτού του κακόβουλουπρογράμματος και αρκετές πρόσθετες μονάδες, συμπεριλαμβανομένων εργαλείων που αποσκοπούν στη συλλογή δεδομένων από βιομηχανικά συστήματα ελέγχου. Τα προϊόντα της Kaspersky Lab εντοπίζουν και εξουδετερώνουν όλες τις παραλλαγές του κακόβουλου λογισμικού που χρησιμοποιούνται σε αυτή την εκστρατεία.

Για τη διαχείριση και τον έλεγχο της εκστρατείας, το Havex και τα άλλα κακόβουλα εργαλεία που χρησιμοποιούνται, συνδέονται σε ένα μεγάλο δίκτυο παραβιασμένων ιστοσελίδων. Οι ιστοσελίδες αυτές«φιλοξενούν» πληροφορίες του θύματος και εκτελούν εντολές προς μολυσμένα συστήματα, σε συνδυασμό με επιπλέον κακόβουλες μονάδες.

Ο κατάλογος αυτών των επιπλέον μονάδων περιλαμβάνει εργαλεία για την υποκλοπή κωδικών πρόσβασης και επαφών του Outlook, για τη λήψη screenshot, καθώς και εργαλεία για αναζήτηση και κλοπή ορισμένων τύπων αρχείων, όπως: έγγραφα κειμένου, λογιστικά φύλλα, βάσεις δεδομένων, αρχεία PDF, εικονικοί δίσκοι, αρχεία προστατευμένα με κωδικό πρόσβασης, κλειδιά ασφαλείας pgp, κλπ.

Προς το παρόν, το Havex Trojan είναι γνωστό ότι έχει δύο εξαιρετικά ειδικές μονάδες, με στόχο τη συγκέντρωση δεδομένωναπό συγκεκριμένα βιομηχανικάπεριβάλλοντα πληροφορικής και τη διαβίβαση τους στον επιτιθέμενο. Η μονάδα OPCscannerέχει σχεδιαστεί για να συλλέγειεξαιρετικά λεπτομερή στοιχεία σχετικά με τους OPC serversπου «τρέχουν» σε κάποιο τοπικό δίκτυο. Τέτοιοι servers χρησιμοποιούνται συνήθως, όπου λειτουργούν πολλαπλά συστήματα βιομηχανικού αυτοματισμού. Η δεύτερη μονάδα είναι ένα εργαλείο σάρωσης δικτύου, το οποίο αναζητά όλους τους υπολογιστές που συνδέονται σε θύρες που σχετίζονται με λογισμικό OPC/ SCADA. Το εργαλείο αυτό προσπαθεί να συνδεθεί σε τέτοιου είδους hosts, προκειμένου να προσδιορίσειτο πιθανό OPC/SCADA σύστημα που βρίσκεται σε λειτουργία. Έπειτα διαβιβάζει όλα τα δεδομένα που συγκεντρώθηκαν στους command&controlservers.

Μυστηριώδης προέλευση

Οι ερευνητές της Kaspersky Lab παρατήρησαν αρκετάmeta χαρακτηριστικά που θα μπορούσαν να μαρτυρούν την εθνική προέλευση των εγκληματιών που βρίσκονται πίσω από την εκστρατεία. Συγκεκριμένα, πραγματοποίησαν ανάλυση της χρονοσφραγίδας 154 αρχείων και κατέληξαν στο συμπέρασμα ότι τα περισσότερα δείγματα συγκεντρώθηκαν μεταξύ 06:00 και 16:00 UTC (Συντονισμένη Παγκόσμια Ώρα). Οι ώρες αυτές θα μπορούσαν να αντιστοιχούν σε οποιαδήποτε χώρα της Ευρώπης, καθώς και της Ανατολικής Ευρώπης.

Επίσης, οι ειδικοί της εταιρείας ανέλυσαν επίσης τη γλώσσα του παράγοντα.Οι στοιχειοσειρές που υπάρχουν στο προς ανάλυση malware είναι στα Αγγλικά (γραμμένες από μη ιθαγενείς). Σε αντίθεση με αρκετούς προηγούμενους ερευνητές της συγκεκριμένης εκστρατείας, οι ειδικοί της Kaspersky Lab δεν μπόρεσαν να καταλήξουνότι ο παράγοντας αυτός είναι ρωσικής προέλευσης. Σε σχεδόν 200 κακόβουλα εκτελέσιμα αρχεία και στο σχετικό λειτουργικό περιεχόμενότους δεν υπάρχει καθόλου Κυριλλικό περιεχόμενο (ή κάποιος αντίστοιχος μεταγραμματισμός),σε αντίθεση με τα καταγεγραμμένα ευρήματα για εκστρατείες όπως το RedOctober, το Miniduke, το Cosmicduke, το Snakeκαι το TeamSpy. Επίσης, στοιχεία σχετικά με τη γλώσσα οδηγούν σε άτομα που μιλούν Γαλλικά και Σουηδικά.

Οι ειδικοί της Kaspersky Lab συνεχίζουν την έρευνά τους για την εκστρατεία αυτή, ενώ παράλληλα συνεργάζονταικαι με τις διωκτικές αρχές, αλλά και με βιομηχανικούς συνεργάτες τους. Μπορείτε να βρείτε το πλήρες κείμενο της έρευνας διαθέσιμο στηSecurelist.com.