Kaspersky Lab odhalila infrastrukturu ruskojazyčných hackerů Crouching Yeti

Bezpečnostní odborníci z Kaspersky Lab odhalili infrastrukturu známé ruskojazyčné kyberzločinecké skupiny Crouching Yeti, známé také jako Energetic Bear. Analýza ukázala, že kyberzločinci jejím prostřednictvím napadli od roku 2016 řadu serverů po celém světě. Někdy chtěli prostřednictvím útoků získat přístup do systémů třetích stran, v jiných případech infrastrukturu využili k útokům watering hole.

Crouching Yeti je ruskojazyčná hackerská skupina využívající pokročilé trvalé hrozby (APT), jejíž aktivity společnost Kaspersky Lab sleduje už od roku 2010. Nechvalně se proslavila útoky na různá průmyslová odvětví po celém světě, přičemž se primárně zaměřuje na energetický sektor. Jejím hlavním cílem je ukrást cenná data z IT systémů napadených firem. Nejčastěji skupina používá techniku watering hole útoků: útočníci umístí na webové stránky infikovaný odkaz, který uživatele přesměruje na škodlivý server.

Bezpečnostní analytici Kaspersky Lab v nedávné době objevili několik firemních serverů společností z Ruska, USA, Turecka a Evropy, které napadli kyberzločinci z této skupiny. Společnosti s různým zaměřením čelily útokům v letech 2016 a 2017.

Při analyzování infikovaných serverů odborníci identifikovali několik internetových stránek a serverů používaných organizacemi v Rusku, USA, Evropě, Asii a Latinské Americe, které útočníci skenovali různými nástroji. Chtěli tak najít server, který by jim sloužil jako vstupní dveře do firemního systému, a kde by mohli implementovat své další nástroje potřebné pro kybernetický útok. Některé prozkoumané stránky mohli hackeři díky skenu označit za vhodné pro waterhole útok. Odborníci zjistili, že hackeři takto skenovali poměrně velké množství různých stránek, které patřily například online obchodům a službám, veřejným organizacím, nevládním organizacím nebo firmám ze zpracovatelského průmyslu.

Dalším zjištěním je, že skupina využívala veřejně dostupné nástroje pro serverovou analýzu a pro vyhledávání a shromažďování informací. Odborníci také našli modifikovaný sshd soubor s předinstalovaným backdoorem. Ten útočníci využili k nahrazení původního souboru a pro jeho autorizaci mohli použít „master password“.

„Aktivity této skupiny, mezi něž patří shromažďování dat, krádeže přístupových hesel nebo skenování firemních sítí, slouží hackerům k případnému iniciování dalších útoků. Na základě rozmanitosti infikovaných serverů a prohledaných sítí se dá předpokládat, že pracují pro třetí stranu,“ říká Vladimir Dashchenko, vedoucí výzkumu zranitelností v oddělení ICS CERT společnosti Kaspersky Lab.

Bezpečnostní odborníci organizacím doporučují, aby implementovaly komplexní bezpečnostní postupy zaměřující se na pokročilé hrozby. Jejich součástí by mělo být speciální řešení proti cíleným útokům, umožňující okamžitou reakci na napadení a poskytující služby threat intelligence.

Více informací o aktivitě kyberzločinné skupiny Crouching Bear se dozvíte na stránkách ICS CERT společnosti Kaspersky Lab.

O společnosti Kaspersky Lab

Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností již více než 20 let. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb nové generace zaměřených na ochranu podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.

 

Reklamy