Cybergang Crouching Yeti i ataki na firmy przemysłowe

24-04-2018, 16:11

Eksperci zidentyfikowali infrastrukturę wykorzystywaną przez znane rosyjskojęzyczne ugrupowanie cyberprzestępcze zwane Crouching Yeti lub Energetic Bear, która składa się z zainfekowanych serwerów zlokalizowanych na całym świecie. Z badania wynika, że od 2016 r. zaatakowane zostały liczne serwery w różnych państwach.

Crouching Yeti to monitorowane przez Kaspersky Lab od 2010 r. rosyjskojęzyczne ugrupowanie APT (stosujące zaawansowane, długotrwałe zagrożenia), najbardziej znane z atakowania sektorów przemysłowych na całym świecie, w szczególności zakładów energetycznych, głównie w celu kradzieży cennych danych z systemów ofiar. Jedną z powszechnie stosowanych przez ugrupowanie technik jest przeprowadzanie ataków metodą „wodopoju” (ang. watering hole), w ramach których przestępcy wstrzykują do istniejących stron internetowych odsyłacze przekierowujące odwiedzających do szkodliwych zasobów.

Niedawno wykryto wiele zainfekowanych przez to ugrupowanie serwerów należących do różnych organizacji zlokalizowanych w Rosji, Stanach Zjednoczonych, Turcji oraz państwach europejskich, które nie ograniczały się jedynie do przedsiębiorstw przemysłowych. Według badaczy zostały one zaatakowane w latach 2016-2017 w różnych celach. W niektórych przypadkach serwery te pośredniczyły podczas przeprowadzania ataków na inne zasoby.

W procesie analizowania zainfekowanych serwerów badacze zidentyfikowali liczne strony internetowe oraz zasoby wykorzystywane przez organizacje w Rosji, Stanach Zjednoczonych, Europie, Azji oraz Ameryce Łacińskiej, które atakujący skanowali przy użyciu różnych narzędzi. Celem było prawdopodobnie znalezienie serwerów, które mogłyby zostać wykorzystane do przechowywania narzędzi cyberprzestępczych, a następnie opracowania ataku. Zakres stron internetowych i serwerów, które zwróciły uwagę atakujących, jest szeroki (m.in. sklepy i serwisy internetowe, witryny organizacji publicznych, pozarządowych itd.).

Eksperci stwierdzili również, że ugrupowanie wykorzystywało publicznie dostępne szkodliwe narzędzia służące do analizowania serwerów oraz szukania i gromadzenia informacji. W celu zabezpieczenia się przed działaniami cybergangów takich jak Crouching Yeti zaleca się organizacjom wdrożenie wszechstronnego systemu ochrony przed zaawansowanymi zagrożeniami składającego się z wyspecjalizowanych rozwiązań bezpieczeństwa do wykrywania ataków ukierunkowanych oraz reagowania na incydenty.

Źródło: Kaspersky Lab ICS CERT


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930