De infrastructuur die wordt gebruikt door de bekende Russischtalige APT-groep Crouching Yeti, ook bekend als Energetic Bear, is blootgesteld. De infrastructuur omvat gecompromitteerde servers over de hele wereld. Sinds 2016 zijn talloze servers in verschillende landen getroffen, soms om toegang te krijgen tot andere resources. Andere servers, waaronder hosts van Russische websites, zijn gebruikt als watering holes.
De servers zijn ontdekt door beveiligingsbedrijf Kaspersky Lab. Crouching Yeti is een Russischtalige APT (Advanced Persistent Threat)-groep die sinds 2010 door Kaspersky Lab wordt gevolgd. De groep is met name bekend van de aanvallen op industriële sectoren over de hele wereld, met een primaire focus op energiefaciliteiten. Het hoofddoel is het stelen van waardevolle data van besmette systemen. Een van de technieken die de groep op grote schaal toepast is die van de watering hole-aanval: de aanvallers plaatsen een link op websites om bezoekers om te leiden naar een kwaadwillende server.
Onlangs heeft Kaspersky Lab een aantal door de groep gecompromitteerde servers ontdekt, van verschillende organisaties in Rusland, de Verenigde Staten, Turkije en Europa. De groep heeft zich hierbij niet beperkt tot industriële bedrijven. Volgens onderzoekers zijn de servers in 2016 en 2017 met verschillende bedoelingen getroffen. Zo werden ze in sommige gevallen niet alleen als watering hole gebruikt, maar ook als tussenstation voor aanvallen op andere resources.
Gedurende de analyse van geïnfecteerde servers hebben onderzoekers talloze websites en servers van organisaties uit Rusland, de VS, Europa, Azië en Latijns-Amerika geïdentificeerd die door de aanvallers met verschillende tools zijn gescand. Mogelijk om een server te vinden die kon worden ingezet om tools te hosten en vervolgens een aanval te ontwikkelen. Sommige van de gescande sites waren wellicht interessant voor de aanvallers als watering hole-kandidaat. Het scala aan websites en servers die de aandacht van de indringers had, is zeer omvangrijk. Onderzoekers van Kaspersky Lab hebben vastgesteld dat de aanvallers websites van verschillende typen hebben gescand, waaronder webwinkels en -diensten evenals sites van openbare organisaties, NGO’s en productiebedrijven.
Ook hebben experts vastgesteld dat de groep openbaar beschikbare kwaadaardige tools heeft gebruikt die zijn ontwikkeld voor het analyseren van servers en het zoeken en verzamelen van informatie. Bovendien is er een gemodificeerd sshd-bestand met een vooraf geïnstalleerde backdoor gevonden. Dit bestand is gebruikt om het oorspronkelijke bestand te vervangen en kon worden geautoriseerd met een 'hoofdwachtwoord'.
"Crouching Yeti is een beruchte Russischtalige groep die al vele jaren actief is en nog steeds met succes industriële organisaties bestookt door middel van watering hole-aanvallen en andere technieken”, zegt Vladimir Dashchenko, hoofd Vulnerability Research Group van Kaspersky Lab ICS CERT. “Onze bevindingen tonen aan dat de groep niet alleen servers heeft gecompromitteerd om als watering hole in te zetten, maar ook om ze aanvullend te scannen. Doordat ze open-source-tools hebben gebruikt, was het een stuk moeilijker om ze achteraf te identificeren.”
"De activiteiten van de groep, zoals de aanvankelijke dataverzameling, de diefstal van authenticatiegegevens en het scannen van bronnen, worden ingezet om nieuwe aanvallen uit te voeren”, vervolgt Dashchenko. “De diversiteit van geïnfecteerde servers en gescande resources suggereert dat de groep mogelijk in het belang van derden opereert.”
Kaspersky Lab adviseert organisaties om een uitgebreid raamwerk tegen geavanceerde dreigingen te implementeren, bestaande uit speciale beveiligingsoplossingen voor detectie van gerichte aanvallen en incidentrespons, expertdiensten en informatie over dreigingen. Het bedrijf levert zelf het anti-targeted-attack-platform, dat onderdeel uitmaakt van Kaspersky Threat Management and Defence. Deze oplossing detecteert aanvallen in een vroeg stadium door verdachte netwerkactiviteit te analyseren. Daarnaast levert het beveiligingsbedrijf Kaspersky EDR, dat voor een grotere zichtbaarheid van endpoints, onderzoeksmogelijkheden en responsautomatisering zorgt. Deze tools worden aangevuld door wereldwijde dreigingsinformatie en de expertdiensten van Kaspersky Lab, gespecialiseerd in incidentrespons en het opsporen van dreigingsactoren.
Gedetailleerde informatie over de recente activiteiten van Crouching Yeti is te vinden op de website van Kaspersky Lab ICS CERT.