Kaspersky Lab heeft een infrastructuur blootgelegd die wordt gebruikt door de Advanced Presistent Threat (APT)-groep Crouching Yeti, ook bekend als Energetic Bear. Deze omvat gecompromitteerde servers over de hele wereld. Er zouden sinds 2016 talloze servers in verschillende landen getroffen zijn, soms om toegang te krijgen tot andere resources. Andere servers, waaronder hosts van Russische websites, zijn gebruikt als zogeheten watering holes.
De APT-groep wordt sinds 2010 door Kaspersky Lab gevolgd. Crouching Yeti is met name bekend vanwege de aanvallen op industriële sectoren over de hele wereld, met een primaire focus op energiefaciliteiten. Het hoofddoel is het stelen van waardevolle data van besmette systemen. Eén van de technieken die de groep toepast wordt een watering hole-aanval genoemd. De aanvallers plaatsen hierbij een link op websites om bezoekers om te leiden naar een kwaadwillende server.
Watering hole
Onlangs ontdekte het security-bedrijf een aantal door de groep gecompromitteerde servers, van verschillende organisaties in Rusland, de Verenigde Staten, Turkije en Europa. De groep beperkte zich hierbij niet tot industriële bedrijven. Volgens de onderzoekers zijn de servers in 2016 en 2017 met verschillende bedoelingen getroffen. Zo werden ze soms niet alleen als watering hole gebruikt, maar ook als tussenstation voor aanvallen op andere resources.
Kaspersky spreekt over talloze websites en servers die door de aanvallers met verschillende tools zijn gescand. Mogelijk gebeurde dit om een server te vinden die kon worden ingezet om tools te hosten en vervolgens een aanval te ontwikkelen. Sommige sites waren wellicht interessant als watering hole-kandidaat. De aanvallers hebben websites van verschillende typen gescand, waaronder webwinkels en -diensten, en openbare organisaties, NGO’s en productiebedrijven.
Crouching Yeti gebruikte openbaar beschikbare tools die zijn ontwikkeld voor het analyseren van servers en het zoeken en verzamelen van informatie. Bovendien is er een gemodificeerd sshd-bestand met een vooraf geïnstalleerde backdoor gevonden. Dit bestand is gebruikt om het oorspronkelijke bestand te vervangen en kon worden geautoriseerde met een hoofdwachtwoord.
Het bedrijf adviseert organisaties om een uitgebreid raamwerk tegen geavanceerde dreigingen te implementeren, bestaande uit speciale beveiligingsoplossingen voor detectie van gerichte aanvallen en incidentresponse, expertdiensten en informatie over dreigingen.
9 uur geleden
