Η Kaspersky Lab προχώρησε στη δημοσίευση νέας ανάλυσης σχετικά με το κακόβουλο λογισμικό και την υποδομή του Command & Control server που σχετίζονται με την εκστρατεία ψηφιακής Crouching Yeti, όπως έχει καταχωρηθεί από τους ειδικούς της Ομάδας Global Research and Analysis της εταιρείας. Η εκστρατεία τέθηκε σε ισχύ το 2010, ενώ βρίσκεται σίγουρα σε λειτουργία ακόμη και σήμερα, βάζοντας στο στόχαστρο νέα θύματα καθημερινά. Σημειώνεται ότι η συγκεκριμένη εκστρατεία είναι γνωστή και ως Energetic Bear.
Ο Nicolas Brulez, Principal Security Researcher της Kaspersky Lab, δήλωσε: «Η εκστρατεία αυτή είχε αρχικά ονομαστεί Energetic Bear από την εταιρεία Crowd Strike, σύμφωνα με την ονοματολογία που χρησιμοποιεί. Το συνθετικό “Bear” (σ.σ. αρκούδα) αναφέρεται στην πιθανή προέλευση της εκστρατείας, καθώς η Crowd Strike πιστεύει ότι έχει ξεκινήσει από τη Ρωσία. Η Kaspersky Lab εξακολουθεί να διερευνά όλα τα υπάρχοντα στοιχεία. Ωστόσο, αυτή τη στιγμή, δεν υπάρχουν ισχυρές ενδείξεις προς οποιαδήποτε κατεύθυνση. Επίσης, η ανάλυσή μας δείχνει ότι η παγκόσμια στόχευση των επιτιθέμενων εκτείνεται πέρα από τους παραγωγούς ενέργειας, όπου φαίνεται να είχε εστιάσει αρχικά η εκστρατεία. Με βάση αυτά τα δεδομένα, αποφασίσαμε να δώσουμε ένα νέο όνομα στην εκστρατεία. Το Yeti θυμίζει αρκούδα, αλλά η προέλευση του είναι μυστηριώδης».
Το Crouching Yeti εμπλέκεται σε αρκετές εκστρατείες τύπου APT (Advanced Persistent Threat). Σύμφωνα με έρευνα της Kaspersky Lab, τα θύματα καλύπτουν ένα ευρύ φάσμα επιχειρήσεων και οργανισμών. Τα περισσότερα από τα αναγνωρισμένα θύματα προέρχονται από τους εξής τομείς: βιομηχανία/ μηχανικός εξοπλισμός, μεταποίηση, φαρμακευτική βιομηχανία, κατασκευές, παιδεία και πληροφορική.
Συνολικά, τα θύματα που έχουν εντοπιστεί ξεπερνούν τα 2.800 παγκοσμίως, εκ των οποίων οι ερευνητές της Kaspersky Lab ήταν σε θέση να αναγνωρίσουν 101 επιχειρήσεις/ οργανισμούς. Βάσει της σχετικής λίστας, το Crouching Yeti φαίνεται να εστιάζει σε στρατηγικούς στόχους. Ωστόσο, φαίνεται επίσης ότι το ενδιαφέρον των επιτιθέμενων τραβούν και άλλοι, όχι τόσο «προφανείς», στόχοι. Οι ειδικοί της Kaspersky Lab πιστεύουν ότι οι τελευταίοι ενδεχομένως να αποτελούν «παράπλευρα θύματα». Ωστόσο, ενδεχομένως να έχει λογική και η θεώρηση του Crouching Yeti όχι μόνο ως μιας ιδιαίτερα στοχευμένης εκστρατείας με εστίαση σε μια πολύ συγκεκριμένη περιοχή ενδιαφέροντος, αλλά και ως μιας ευρείας εκστρατείας παρακολούθησης με ενδιαφέρον για διάφορους τομείς. Οι εταιρείες και οι οργανισμοί που δέχθηκαν επίθεση βρίσκονται κυρίως στις ΗΠΑ, στην Ισπανία και στην Ιαπωνία.
Εκτός όμως από τις παραπάνω χώρες, το Crouching Yeti είχε δραστηριότητα και στην Ελλάδα. Ειδικά για τη χώρα μας, η έρευνα της Kaspersky Lab αναγνώρισε ότι η εκστρατεία έπληξε το δίκτυο ενός δημόσιου ακαδημαϊκού οργανισμού έρευνας και τεχνολογίας, καθώς και το παράρτημα μιας πολυεθνικής εταιρείας υπηρεσιών ταχυμεταφορών (courier). Επίσης, το Crouching Yeti στράφηκε εναντίον διαφορετικών ειδών στόχων και στην ευρύτερη περιοχή της Νοτιοανατολικής Ευρώπης. Μεταξύ άλλων, στα θύματα του περιλαμβάνονται ένας διαχειριστής υπολογιστικών δικτύων υψηλής ταχύτητας στην Τουρκία, ενώ στην Κροατία, θύματα έπεσαν ένα ακαδημαϊκό/ ερευνητικό δίκτυο και ένα ινστιτούτο Φυσικής.
Δεδομένης της φύσης των θυμάτων που έχουν αναγνωριστεί, η βασική επίπτωση γιΆ αυτά είναι η διαρροή ιδιαίτερα ευαίσθητων πληροφοριών, όπως εμπορικά μυστικά, τεχνογνωσία κ.α.
Βιομηχανική κατασκοπεία: Κακόβουλα εργαλεία με πολλαπλές πρόσθετες μονάδες
Το Crouching Yeti δεν είναι μια ιδιαίτερη περίπλοκη εκστρατεία. Για παράδειγμα, οι επιτιθέμενοι δεν χρησιμοποίησαν zero-day ευπάθειες, αλλά προγράμματα που είχαν αναπτυχθεί για ήδη γνωστές ευπάθειες. Ωστόσο, αυτό δεν εμπόδισε την εκστρατεία να παραμείνει απαρατήρητη για αρκετά χρόνια.
Οι ερευνητές της Kaspersky Lab έχουν βρει αποδείξεις για την ύπαρξη πέντε τύπων κακόβουλων εργαλείων, τα οποία χρησιμοποιήθηκαν από τους επιτιθέμενους για την απόσπαση πολύτιμων πληροφοριών από τα παραβιασμένα συστήματα:
- Το Havex trojan
- Το Sysmain trojan
- Το ClientX backdoor
- Το Karagany backdoor και σχετικά προγράμματα stealers
- Παράπλευρες κινήσεις και εργαλεία δεύτερου επιπέδου
Το Havex Trojan ήταν το εργαλείο που χρησιμοποιήθηκε περισσότερο. Συνολικά, οι ερευνητές της Kaspersky Lab ανακάλυψαν 27 διαφορετικές εκδοχές αυτού του κακόβουλου προγράμματος και αρκετές πρόσθετες μονάδες, συμπεριλαμβανομένων εργαλείων που αποσκοπούν στη συλλογή δεδομένων από βιομηχανικά συστήματα ελέγχου. Τα προϊόντα της Kaspersky Lab εντοπίζουν και εξουδετερώνουν όλες τις παραλλαγές του κακόβουλου λογισμικού που χρησιμοποιούνται σε αυτή την εκστρατεία.
Για τη διαχείριση και τον έλεγχο της εκστρατείας, το Havex και τα άλλα κακόβουλα εργαλεία που χρησιμοποιούνται, συνδέονται σε ένα μεγάλο δίκτυο παραβιασμένων ιστοσελίδων. Οι ιστοσελίδες αυτές «φιλοξενούν» πληροφορίες του θύματος και εκτελούν εντολές προς μολυσμένα συστήματα, σε συνδυασμό με επιπλέον κακόβουλες μονάδες.
Ο κατάλογος αυτών των επιπλέον μονάδων περιλαμβάνει εργαλεία για την υποκλοπή κωδικών πρόσβασης και επαφών του Outlook, για τη λήψη screenshot, καθώς και εργαλεία για αναζήτηση και κλοπή ορισμένων τύπων αρχείων, όπως: έγγραφα κειμένου, λογιστικά φύλλα, βάσεις δεδομένων, αρχεία PDF, εικονικοί δίσκοι, αρχεία προστατευμένα με κωδικό πρόσβασης, κλειδιά ασφαλείας pgp, κλπ.
Προς το παρόν, το Havex Trojan είναι γνωστό ότι έχει δύο εξαιρετικά ειδικές μονάδες, με στόχο τη συγκέντρωση δεδομένων από συγκεκριμένα βιομηχανικά περιβάλλοντα πληροφορικής και τη διαβίβαση τους στον επιτιθέμενο. Η μονάδα OPC scanner έχει σχεδιαστεί για να συλλέγει εξαιρετικά λεπτομερή στοιχεία σχετικά με τους OPC servers που «τρέχουν» σε κάποιο τοπικό δίκτυο. Τέτοιοι servers χρησιμοποιούνται συνήθως, όπου λειτουργούν πολλαπλά συστήματα βιομηχανικού αυτοματισμού. Η δεύτερη μονάδα είναι ένα εργαλείο σάρωσης δικτύου, το οποίο αναζητά όλους τους υπολογιστές που συνδέονται σε θύρες που σχετίζονται με λογισμικό OPC/ SCADA. Το εργαλείο αυτό προσπαθεί να συνδεθεί σε τέτοιου είδους hosts, προκειμένου να προσδιορίσει το πιθανό OPC/SCADA σύστημα που βρίσκεται σε λειτουργία. Έπειτα διαβιβάζει όλα τα δεδομένα που συγκεντρώθηκαν στους command & control servers.
Μυστηριώδης προέλευση
Οι ερευνητές της Kaspersky Lab παρατήρησαν αρκετά meta χαρακτηριστικά που θα μπορούσαν να μαρτυρούν την εθνική προέλευση των εγκληματιών που βρίσκονται πίσω από την εκστρατεία. Συγκεκριμένα, πραγματοποίησαν ανάλυση της χρονοσφραγίδας 154 αρχείων και κατέληξαν στο συμπέρασμα ότι τα περισσότερα δείγματα συγκεντρώθηκαν μεταξύ 06:00 και 16:00 UTC (Συντονισμένη Παγκόσμια Ώρα). Οι ώρες αυτές θα μπορούσαν να αντιστοιχούν σε οποιαδήποτε χώρα της Ευρώπης, καθώς και της Ανατολικής Ευρώπης.
Επίσης, οι ειδικοί της εταιρείας ανέλυσαν επίσης τη γλώσσα του παράγοντα. Οι στοιχειοσειρές που υπάρχουν στο προς ανάλυση malware είναι στα Αγγλικά (γραμμένες από μη ιθαγενείς). Σε αντίθεση με αρκετούς προηγούμενους ερευνητές της συγκεκριμένης εκστρατείας, οι ειδικοί της Kaspersky Lab δεν μπόρεσαν να καταλήξουν ότι ο παράγοντας αυτός είναι ρωσικής προέλευσης. Σε σχεδόν 200 κακόβουλα εκτελέσιμα αρχεία και στο σχετικό λειτουργικό περιεχόμενό τους δεν υπάρχει καθόλου Κυριλλικό περιεχόμενο (ή κάποιος αντίστοιχος μεταγραμματισμός), σε αντίθεση με τα καταγεγραμμένα ευρήματα για εκστρατείες όπως το Red October, το Miniduke, το Cosmicduke, το Snake και το TeamSpy. Επίσης, στοιχεία σχετικά με τη γλώσσα οδηγούν σε άτομα που μιλούν Γαλλικά και Σουηδικά.
Οι ειδικοί της Kaspersky Lab συνεχίζουν την έρευνά τους για την εκστρατεία αυτή, ενώ παράλληλα συνεργάζονται και με τις διωκτικές αρχές, αλλά και με βιομηχανικούς συνεργάτες τους. Μπορείτε να βρείτε το πλήρες κείμενο της έρευνας διαθέσιμο στη Securelist.com.