Kaspersky Lab ha scoperto l'infrastruttura utilizzata dal famoso gruppo APT di lingua russa Crouching Yeti, conosciuto anche come Energetic Bear; l’infrastruttura include anche diversi server compromessi in tutto il mondo. Secondo la ricerca dell’azienda di sicurezza informatica, dal 2016 sono stati numerosi i server colpiti in diversi paesi, in alcuni casi con l’obiettivo di accedere ad altre risorse. Altri ancora, compresi quelli che ospitano siti web russi, sono stati usati come “watering hole”.
Crouching Yeti è un gruppo APT di lingua russa che Kaspersky Lab monitora dal 2010. È conosciuto in tutto il mondo per avere come obiettivo principale il settore industriale, con un focus primario sulle strutture energetiche e con lo scopo principale di rubare dati preziosi dai sistemi. Una delle tecniche più utilizzate dal gruppo è l’attacco “watering hole”: gli aggressori modificano i siti web inserendo un link che reindirizza i visitatori a un server compromesso.
Di recente Kaspersky Lab ha scoperto diversi server attaccati dal gruppo, appartenenti ad organizzazioni con sede in Russia, Stati Uniti, Turchia e vari paesi europei, non solo relativi a realtà industriali. Secondo i ricercatori, sono stati colpiti tra il 2016 e il 2017 con scopi diversi. Pertanto questi attacchi, al di là di essere “watering hole”, in alcuni casi sono stati utilizzati come “ponte” per condurre azioni criminali verso altre risorse.
Nel processo di analisi dei server infetti, i ricercatori hanno identificato numerosi siti web e server utilizzati da organizzazioni in Russia, Stati Uniti, Europa, Asia e America Latina che gli aggressori avevano esaminato con vari tool per trovare un server che potesse essere utilizzato come punto d’accesso per ospitare i tool dei cybercriminali e poi sviluppare un attacco. Alcuni dei siti presi in esame potrebbero essersi rivelati interessanti per gli aggressori come possibili “watering hole”. Il range di siti web e server che ha catturato la loro attenzione è ampio; infatti i ricercatori di Kaspersky Lab hanno scoperto che gli aggressori hanno esaminato numerosi siti web di tante tipologie, inclusi quelli di negozi e servizi online, istituzioni pubbliche, organizzazioni non governative, industrie manifatturiere, ecc.
È stato inoltre scoperto che il gruppo utilizzava tool dannosi open-source, progettati per analizzare i server e per cercare e raccogliere informazioni. In più è stato scoperto un file sshd modificato con una backdoor preinstallata. Tutto ciò è stato usato per sostituire il file originale in modo da essere autorizzato con una “master password”.
"Crouching Yeti è un famigerato gruppo di lingua russa attivo da molti anni che si rivolge con successo alle organizzazioni industriali sfruttando attacchi di vario genere, tra cui quelli “watering hole”. Gli ultimi risultati mostrano che il gruppo ha compromesso i server non solo per creare dei “watering hole”, ma anche per ulteriori osservazioni, utilizzando tool open-source che hanno reso molto più difficile la loro successiva identificazione. Le attività del gruppo, come la raccolta iniziale dei dati, il furto dei dati di autenticazione e la scansione delle risorse, vengono sfruttate per lanciare ulteriori attacchi. La diversità dei server infetti e delle risorse scansionate suggerisce che il gruppo possa operare nell'interesse di terze parti" ha commentato Vladimir Dashchenko, Head of Vulnerability Research Group di Kaspersky Lab ICS CERT.
Kaspersky Lab consiglia alle organizzazioni di implementare un framework completo contro le minacce avanzate che comprenda soluzioni di sicurezza dedicate al rilevamento di attacchi mirati e all’incident response, insieme a servizi di expertise e intelligence sulle minacce. Kaspersky Threat Management and Defense, la piattaforma che protegge dal rischio di attacchi mirati rileva un attacco sin dalle sue prime fasi, analizzando le attività sospette della rete; Kaspersky EDR, invece, offre visibilità dei dati degli endpoint, capacità di indagine e automazione nelle risposte. Tutto questo è potenziato dall'intelligence sulle minacce globali e dai servizi di Kaspersky Lab, specializzati nella ricerca delle minacce e nell’incident response.
Maggiori dettagli sul gruppo APT Crouching Yeti sono disponibili sul sito Web di Kaspersky Lab ICS CERT.
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 20 anni. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it
Informazioni su ICS CERT di Kaspersky Lab
Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) è un progetto globale lanciato da Kaspersky Lab nel 2016 con l’obiettivo di coordinare gli sforzi dei fornitori di sistemi di automazione, i proprietari di infrastrutture industriali, gli operatori e i ricercatori nell’ambito della sicurezza IT nella protezione delle industrie dai cyberattacchi. ICS CERT di Kaspersky Lab si impegna soprattutto nell’identificare minacce potenziali ed esistenti che mirano ai sistemi di automazione e all’Internet of Things in ambito industriale. Nel corso del primo anno di attività, il team ha rilevato oltre 110 vulnerabilità critiche nei prodotti dei più importanti fornitori ICS a livello globale. ICS CERT di Kaspersky Lab è membro attivo e partner delle maggiori istituzioni internazionali che si occupano di elaborare misure per la protezione di imprese industriali dagli attacchi informatici. ics-cert.kaspersky.com
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/.
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
