„Energetic Bear este numele inițial ales de compania Crowd Strike pentru această campanie, conform propriei terminologii,” a declarat Nicolas Brulez, Principal Security Researcher în cadrul Kaspersky Lab. „Cuvântul „Bear” se referă la origine iar specialiștii Crowd Strike considerau că țara de provenienţă a campaniei este Rusia. Kaspersky Lab încă investighează toate informațiile disponibile legate de localizarea campaniei, însă, în acest moment nu există date suficient de clare pentru a veni cu o concluzie în acest sens. În plus, analiza noastră demonstrează că atenția atacatorilor la nivel global este extinsă şi nu vizează doar producătorii de energie. Pe baza acestor informații, am decis să numim acest fenomen altfel: cuvântul „Yeti” amintește de „Bear”, dar reflectă originea necunoscută a campaniei,” a explicat Nicolas Brulez.
Energetic Bear/ Crouching Yeti nu vizează doar producători de energie
Energetic Bear/ Crouching Yeti include mai multe campanii de tip APT (Advanced Persistent Threat – amenințări persistente avansate). Spre deosebire de teoriile iniţiale, conform analizei experților Kaspersky Lab, victimele fac parte din diferite tipuri de organizații. Cele mai multe victime identificate fac parte din următoarele sectoare: industrial/utilaje, producţie, farmaceutic, construcții, educație, tehnologia informației.
Numărul total de victime la nivel global este de peste 2.800, dintre care cercetătorii Kaspersky Lab au identificat 101 organizații. Lista victimelor vizate pare să indice un interes al campaniei Crouching Yeti pentru anumite ținte strategice, precum și pentru instituții mai puțin importante. Experții Kaspersky Lab consideră că acestea din urmă ar putea fi victime colaterale, însă este posibilă şi varianta în care campania Crouching Yeti nu vizează doar ţinte foarte specifice dintr-un anumit sector, ci este de fapt o campanie extinsă de spionaj, cu interese în sectoare diferite.
Organizațiile atacate sunt localizate cu preponderență în SUA, Spania și Japonia, dar există victime și în Germania, Franța, Italia, Turcia, Irlanda, Polonia, Grecia și Croația. Ţinând cont de activitatea victimelor descoperite, principalul impact negativ pentru acestea este dat de sustragerea de informații confidenţiale, cum ar fi secretele comerciale sau expertiza companiei.
Spionaj industrial: instrumente malware cu multiple module adiționale
Crouching Yeti nu este o campanie foarte sofisticată. De exemplu, atacatorii nu au utilizat exploit-uri de tip zero-day, optând pentru exploit-uri răspândite pe Internet. Însă, acest lucru nu a favorizat identificarea campaniei mai rapid, aceasta operând nedescoperită timp mai mulți ani.
Specialiștii Kaspersky Lab au găsit dovezi legate de existența a cinci tipuri de instrumente malware utilizate de atacatori pentru a sustrage informații valoroase din sistemele compromise:
• Troianul Havex
• Troianul Sysmain
• Backdoor-ul ClientX
• Backdoor-ul Karagany și alte module conexe de tip stealer
• Instrumente pentru mișcare laterală sau de stadiu secundar
Cel mai des utilizat instrument este troianul Harvex. Cercetătorii Kaspersky Lab au descoperit, în total, 27 de versiuni diferite ale acestui program periculos și câteva module adiționale, inclusiv instrumente utilizate la colectarea datelor din cadrul sistemelor de control industrial. Produsele Kaspersky Lab detectează și elimină toate variantele de malware utilizate în această campanie.
Pentru comandă și control, Havex și alte instrumente malware utilizate de Crouching Yeti se conectectează la o rețea mare de website-uri compromise. Aceste site-uri conțin informații despre victime și transmit comenzi și module de malware adiționale către sistemele infectate.
Lista modulelor care pot fi descărcate include instrumente pentru sustragerea parolelor și a contactelor din Outlook, capturi de ecran, precum și module care caută și sustrag diferite tipuri de fișiere: documente de tip text, foi de calcul, fișiere PDF, discuri virtuale, fișiere protejate cu parolă, chei de securitate de tip PGP etc.
În prezent, troianul Havex include două module speciale cu scopul de a aduna și a transmite atacatorului informații din medii IT industriale specifice. Modulul de scanare OPC este construit pentru a colecta informații extrem de detaliate despre serverele OPC care rulează în rețeaua locală. Aceste servere sunt utilizate de obicei în rețele care rulează multiple sisteme de automatizare industrială. Al doilea modul este un instrument utilizat pentru scanarea rețelei locale, cu scopul de a descoperi toate computerele care utilizează software OPC/SCADA, încercând ulterior să se conecteze la aceste sisteme pentru a identifica versiunea OPC/SCADA care rulează și pentru a transmite toate datele obținute către serverele de comandă și control.
Campanie de spionaj cibernetic cu origine necunoscută
Cercetătorii Kaspersky Lab au observat câteva trăsături care ar putea oferi informaţii legate de țara de origine a infractorilor aflați în spatele acestei campanii. Astfel, aceștia au demarat o analiză a 154 de înregistrări de timp și dată și au concluzionat că majoritatea mostrelor de malware au fost compilate între orele 06:00 și 16:00 UTC, interval care corespunde tuturor țărilor din Europa, inclusiv din Europa de Est.
Experții au analizat și limbajul utilizat de atacatori. Șirurile de text din malware-ul analizat sunt scrise în engleză (de către vorbitori non-nativi). Spre deosebire de concluziile anterioare ale cercetărilor cu privire la această campanie, de această dată specialiștii Kaspersky Lab nu au ajuns la o concluzie definitivă care să confirme originea rusească a atacatorilor. Spre deosebire de rezultatele documentate legate de Red October, Miniduke, Cosmicduke, Snake și TeamSpy, cele aproape 200 de coduri binare periculoase analizate și conținutul operațional conex, nu au inclus limbaj chirilic (sau o transcriere a acestuia). De asemenea, analizând originea atacului, experții Kaspersky Lab au descoperit dovezi care pot indica vorbitori de franceză și suedeză.
Experții Kaspersky Lab își continuă cercetările legate de această campanie, lucrând impreună cu agenții de aplicare a legii, dar și cu parteneri din industrie. Textul integral al acestei cercetări este disponibil pe Securelist.com.