Crouching Yeti: una campagna di spionaggio ancora in corso con oltre 2.800 obiettivi importanti in tutto il mondo

31 lug 2014
Malware

Kaspersky Lab ha pubblicato un'analisi approfondita del malware e dell’infrastruttura server di comando e controllo (C&C) che fanno parte della campagna di cyber-spionaggio chiamata Crouching Yeti dal Global Research and Analysis Team di Kaspersky Lab (GReAT).

L’inizio della campagna risale alla fine del 2010 ma risulta attiva ancora oggi e mira a nuove vittime ogni giorno.

Non così "energetico". Energetic Bear/Crouching Yeti è coinvolto in una serie di campagne composte da attacchi persistenti di tipo avanzato (APT). Secondo la ricerca di Kaspersky Lab, le vittime riguardano un più ampio numero di imprese di quante previste inizialmente. I settori nei quali sono state identificate il maggior numero di vittime sono:

  • Industriale/meccanico
  • Manifatturiero
  • Farmaceutico
  • Costruzioni
  • Istruzione
  • Information Technology

Il numero totale di vittime accertate è di oltre 2.800 in tutto il mondo, tra le quali i ricercatori di Kaspersky Lab hanno identificato 101 organizzazioni. La lista delle vittime indica che l'interesse di Crouching Yeti sono gli obiettivi strategici, ma non solo, dimostra anche interessi verso istituzioni non così ovvie. Gli esperti di Kaspersky Lab credono che potrebbe trattarsi di vittime collaterali, per cui potrebbe essere più opportuno considerare Crouching Yeti non solo come una campagna che mira ad una specifica area di interesse, ma come una campagna più ampia che rivolge il proprio interesse a diversi settori.

Le organizzazioni vittime di questa campagna si trovano per lo più negli Stati Uniti, Spagna, Giappone, Germania, Francia, Italia, Turchia, Irlanda, Polonia e Cina. Data la natura delle vittime che sono state colpite, l'impatto che questa campagna potrebbe avere su queste organizzazioni è la divulgazione di dati sensibili come informazioni commerciali riservate e know-how.

Tool nocivi con diversi moduli aggiuntivi. Crouching Yeti è sicuramente una campagna moto sofisticata. Ad esempio, i criminali che si nascondono dietro a questo attacco non hanno utilizzato nessun exploit zero-day, solo exploit facilmente recuperabili su Internet. Ma questo non ha impedito alla campagna di rimanere nascosta per diversi anni.

I ricercatori di Kaspersky Lab hanno trovato prove dell'esistenza di cinque tipi di strumenti nocivi utilizzati dagli aggressori per impossessarsi di informazioni preziose dai sistemi compromessi:

  • Havex Trojan
  • SysMain Trojan
  • Backdoor ClientX
  • Backdoor Karagany e stealer collegati
  • Lateral movement e tool second stage

Lo strumento più utilizzato è Havex Trojan. In totale i ricercatori di Kaspersky Lab hanno scoperto 27 versioni diverse di questo programma dannoso e diversi moduli aggiuntivi tra cui alcuni strumenti finalizzati alla raccolta di dati provenienti da sistemi di controllo industriale. Per il comando e controllo, Havex e gli altri strumenti nocivi usati da Crouching Yeti, si connettono a una vasta rete di siti web violati. Questi siti ospitano informazioni sulla vittima e smistano comandi ai sistemi infetti oltre che moduli di malware aggiuntivi.

L'elenco dei moduli scaricabili include strumenti che servono per rubare password e contatti di Outlook, catturare screenshot e moduli per la ricerca e il furto di alcuni tipi di file: documenti di testo, fogli di calcolo, database, file PDF, unità virtuali, file protetti da password, chiavi di sicurezza pgp, e così via.

Spionaggio industriale. Allo stato attuale Havex Trojan è noto per avere due moduli molto speciali finalizzati a raccogliere e trasmettere ai criminali i dati provenienti da specifici ambienti IT industriali. Il primo è il modulo scanner OPC. Questo modulo è progettato per raccogliere dati estremamente dettagliati sui server OPC in esecuzione nella rete locale. Tali server sono di solito utilizzati negli ambienti in cui sono in funzione diversi sistemi di automazione industriale.

Il modulo scanner OPC è accompagnato da uno strumento di scansione della rete. Questo modulo è progettato per eseguire la scansione della rete locale, cercare tutti i computer collegati alle porte relative al software OPC/SCADA e provare a connettersi a tali host per individuare quale potenziale sistema OPC/SCADA sia in esecuzione e trasmettere tutti i dati raccolti ai server di comando e controllo.

Origine misteriosa. I ricercatori di Kaspersky Lab hanno osservato diverse caratteristiche che potrebbero lasciar intendere la nazione d’origine dei criminali che si nascondono dietro questa campagna malware. In particolare, hanno eseguito l’analisi della marcatura oraria di 154 file concludendo che la maggior parte dei campioni sono stati compilati tra le 6:00 e le 16:00 UTC, che potrebbe corrispondere in pratica a qualsiasi paese in Europa cosi come nell'Europa dell'Est.

Gli esperti hanno inoltre analizzato la lingua utilizzata. Le stringhe presenti nel malware analizzato sono in inglese (scritto da non-nativi). A differenza di altri ricercatori che si sono occupati di questa particolare campagna gli specialisti di Kaspersky Lab non hanno potuto arrivare alla conclusione che questi criminali avessero origine russa. Quasi 200 codici binari dannosi e il relativo contenuto operativo non presenta alcun contenuto in cirillico (o traslitterazione), a differenza invece di quanto osservato nei risultati documentati da Kaspersky Lab durante la ricerca di Ottobre Rosso, Miniduke, Cosmicduke, Snake e TeamSpy. Inoltre, sono stati trovati degli indizi che farebbero pensare a una provenienza francese e svedese.

Nicolas Brulez, Principal Security Researcher di Kaspersky Lab, ha dichiarato: "Energetic Bear è stato il primo nome dato a questa campagna da Crowd Strike in base alla loro terminologia. Bear fa riferimento al paese di origine in quanto Crowd Strike ritiene che la campagna sia di origine russa. Kaspersky Lab sta ancora indagando su tutte i collegamenti esistenti; tuttavia, al momento non sono presenti prove sufficienti per stabilirne l’origine. Anche la nostra analisi dimostra che l'attenzione globale dei criminali è molto più ampia e non mira solo ai produttori di energia. Sulla base di questi dati, abbiamo deciso di dare un nuovo nome al fenomeno: lo Yeti ricorda un po’ un orso, ma ha un'origine misteriosa."

Gli esperti di Kaspersky Lab stanno continuando la loro indagine collaborando con le forze dell'ordine e i partner industriali. Il testo integrale della ricerca è disponibile su Securelist.com

Rilevamento. I prodotti Kaspersky Lab rilevano ed eliminano tutte le varianti del malware utilizzato in questa campagna, inclusi (ma non solo): Trojan.Win32.Sysmain.xxx, Trojan.Win32.Havex.xxx, Trojan.Win32.ddex.xxx, Backdoor.MSIL.ClientX.xxx, Trojan.Win32.Karagany.xxx, Trojan, Spy.Win32.HavexOPC.xxx, Trojan-Spy.Win32.HavexNk2.xxx, Trojan-Dropper.Win32.HavexDrop.xxx, Trojan-Spy.Win32.HavexNetscan.xxx, Trojan-Spy.Win32.HavexSysinfo.xxx

 CONDIVIDI