Durante o processo de análise das infraestruturas infetadas, os investigadores identificaram múltiplos sites e servidores, utilizados por empresas russas, norte-americanas, europeias, asiáticas e latino-americanas, que os hackers tinham analisado, possivelmente para encontrar um servidor que alojasse as suas ferramentas e através do qual conseguissem desenvolver um ataque. Alguns dos sites e servidores analisados podem fazer parte de um conjunto de locais que poderão ter despertado o interesse dos hackers enquanto candidatos a watering holes. Os investigadores da Kaspersky Lab descobriram também que os hackers analisaram inúmeros sites de diferentes tipos, incluindo lojas e serviços online, organizações públicas, ONG, empresas de produção, etc.
Além disso, os investigadores chegaram à conclusão que o grupo utilizou ferramentas disponíveis gratuitamente, desenvolvidas para analisar servidores e recolher informações. Foi também detetado um ficheiro modificado SSHD com uma backdoor pré-instalada. Este foi utilizado para substituir o ficheiro original e poderia obter autorizações através de uma “palavra-passe mestre”.
“O Crouching Yeti é um grupo russo bastante conhecido que tem estado ativo há vários anos e cujos ataques a organizações industriais continuam a ser bem-sucedidos graças a técnicas como os watering holes, entre outras. As nossas descobertas revelam que o grupo comprometeu servidores não só para estabelecer estes pontos mas também para levar a cabo mais análises, e que os hackers utilizam ferramentas open-source que tornam muito mais difícil a sua identificação,” afirma Vladimir Dashchenko, Diretor do Grupo de Investigação de Vulnerabilidades na Kaspersky Lab ICS CERT.
“As atividades do grupo, como a recolha de informações inicial, o roubo de dados de autentificação e o scan de recursos, são utilizadas para levar a cabo novos ataques. A diversidade de servidores infetados e de recursos analisados sugere que o grupo pode operar sob interesse de terceiros” acrescentou.
A Kaspersky Lab recomenda que as empresas implementem um quadro abrangente de medidas contra ameaças avançadas, composto por soluções de segurança específicas contra ataques direcionados e resposta a incidentes, bem como inteligência de ameaças e serviços especializados. Inserido no Kaspersky Threat Management and Defense, a plataforma anti ataques direcionados deteta um ataque nas suas fases iniciais ao analisar atividade de rede suspeita, enquanto o Kaspersky EDR proporciona uma maior visibilidade dos endpoints, capacidade de investigação e automação de resposta. Estas são melhoradas graças à inteligência de ameaças global e aos serviços especializados em deteção de ameaças e resposta a incidentes da Kaspersky Lab.
Para saber mais sobre as atividades do Crouching Yeti, visite o website da Kaspersky Lab ICS CERT.
