Crouching Yeti to monitorowane przez Kaspersky Lab od 2010 r. rosyjskojęzyczne ugrupowanie APT (stosujące zaawansowane, długotrwałe zagrożenia), najbardziej znane z atakowania sektorów przemysłowych na całym świecie, w szczególności zakładów energetycznych, głównie w celu kradzieży cennych danych z systemów ofiar. Jedną z powszechnie stosowanych przez ugrupowanie technik jest przeprowadzanie ataków metodą „wodopoju” (ang. watering hole), w ramach których przestępcy wstrzykują do istniejących stron internetowych odsyłacze przekierowujące odwiedzających do szkodliwych zasobów.

Niedawno wykryto wiele zainfekowanych przez to ugrupowanie serwerów należących do różnych organizacji zlokalizowanych w Rosji, Stanach Zjednoczonych, Turcji oraz państwach europejskich, które nie ograniczały się jedynie do przedsiębiorstw przemysłowych. Według badaczy zostały one zaatakowane w latach 2016-2017 w różnych celach. W niektórych przypadkach serwery te pośredniczyły podczas przeprowadzania ataków na inne zasoby.

W procesie analizowania zainfekowanych serwerów badacze zidentyfikowali liczne strony internetowe oraz zasoby wykorzystywane przez organizacje w Rosji, Stanach Zjednoczonych, Europie, Azji oraz Ameryce Łacińskiej, które atakujący skanowali przy użyciu różnych narzędzi. Celem było prawdopodobnie znalezienie serwerów, które mogłyby zostać wykorzystane do przechowywania narzędzi cyberprzestępczych, a następnie opracowania ataku. Zakres stron internetowych i serwerów, które zwróciły uwagę atakujących, jest szeroki (m.in. sklepy i serwisy internetowe, witryny organizacji publicznych, pozarządowych itd.).

Eksperci stwierdzili również, że ugrupowanie wykorzystywało publicznie dostępne szkodliwe narzędzia służące do analizowania serwerów oraz szukania i gromadzenia informacji. W celu zabezpieczenia się przed działaniami cybergangów takich jak Crouching Yeti zaleca się organizacjom wdrożenie wszechstronnego systemu ochrony przed zaawansowanymi zagrożeniami składającego się z wyspecjalizowanych rozwiązań bezpieczeństwa do wykrywania ataków ukierunkowanych oraz reagowania na incydenty.

Źródło: Kaspersky Lab ICS CERT