נחשפה תשתית נרחבת של Crouching Yeti האחראית להתקפות על חברות תעשייתיות
מאת:
מערכת Telecom News, 25.4.18, 19:20
הקבוצה מוכרת גם כ-Energetic Bear. טכניקה אחת, שהפעילה הקבוצה באופן נרחב, היא התקפה באמצעות "בורות השקיה". מגוון השרתים והאתרים, שהיה על הכוונת של התוקפים, הוא נרחב. מה מומלץ לארגונים לעשות?
מעבדת קספרסקי חשפה תשתית נרחבת, שכוללת שרתים פרוצים ברחבי העולם, שמשמשת את קבוצת ה-
APT המוכרת ודוברת הרוסית
Crouching Yeti (מוכרת גם כ-
Energetic Bear). עפ"י המחקר של מעהחברה, מאז 2016 נפגע מספר גדול של שרתים במדינות שונות, לעיתים כדי להשיג גישה למשאבים אחרים, בהם אתרים, שישמשו כ"בורות השקיה".
Crouching Yeti הוא גורם איום
APT דובר רוסית, שהחברה עוקבת אחריו מאז 2010. הוא מוכר בשל התקיפות, שהוא מבצע על המגזר התעשייתי ברחבי העולם, עם התמקדות במתקני אנרגיה, בעיקר למטרת גניבת מידע בעל ערך ממערכות הקורבן. טכניקה אחת, שהפעילה הקבוצה באופן נרחב, היא התקפה באמצעות "בורות השקיה": התוקפים מזריקים לאתרים קוד המפנה את המבקרים אל אתרים זדוניים.
לאחרונה חשפה החברה מספר שרתים שנפגעו ע"י הקבוצה, ששייכים לארגונים שונים ברוסיה, ארה"ב, תורכיה ומדינות אירופאיות. השרתים אינם של חברות תעשייה בלבד. עפ"י החוקרים, הם נפגעו בשנים 2016 ו-2017 לצורך מטרות שונות. מעבר ליצירת בורות השקיה, במקרים מסוימים הם שימשו גם כאמצעי מתווך לביצוע התקפות על משאבים אחרים.
בתהליך הניתוח של השרתים הפגועים, החוקרים זיהו מספר אתרים ושרתים, ששימשו ארגונים ברוסיה, ארה"ב, אירופה, אסיה ודרום אמריקה, שהתוקפים סרקו באמצעות כלים שונים. המטרה הייתה, כנראה, לאתר שרת, שישמש כנקודת מוצא לאירוח כלי התקיפה ובהמשך לפתח ממנו התקפה. ייתכן שחלק מהאתרים נסרקו לצורך הפיכתם לבורות השקיה.
מגוון השרתים והאתרים, שהיה על הכוונת של התוקפים, הוא נרחב. חוקרי החברה גילו ,שתוקפים סרקו מספר גדול של אתרים מסוגים שונים, כולל חנויות ושירותים מקוונים, ארגונים ציבוריים, ארגונים ללא מטרות רווח, יצרנים ועוד.
בנוסף, המומחים גילו, שהקבוצה השתמשה בכלים זדוניים הזמינים לציבור, שנועדו לצורך ניתוח של שרתים ולשם חיפוש ואיסוף מידע. בנוסף, נחשף קובץ
,sshd שעבר התאמה כדי לכלול דלת אחורית. הוא שימש כדי להחליף את הקובץ המקורי.
החברה ממליצה, שארגונים יטמיעו הגנה מקיפה כנגד איומים מתקדמים הכוללת פתרונות אבטחה ייעודיים לזיהוי התקפות ממוקדות ותגובה לאירועים, לצד שירותים מקצועיים ומודיעין איומים, הגנה המזהה התקפות בשלב מוקדם באמצעות ניתוח של פעילות חשודה ברשת, ומספקת שקיפות משופרת בנקודות הקצה ויכולות חקירה ואוטומציה של תגובות.
ולדימיר דשצ'נקו, ראש קבוצת חקר פרצות ב-
ICS CERT של מעבדת קספרסקי
: Crouching Yeti" היא קבוצה דוברת רוסית ידועה, שפעילה כבר שנים רבות, וממשיכה לתקוף בהצלחה ארגוני תעשייה, בין היתר, באמצעות מתקפות של בורות השקיה. הממצאים מראים, שהקבוצה תקפה שרתים, לא רק כדי לייצר בורות השקיה, אלא גם לצורך ביצוע סריקה נוספת, ושהיא עושה שימוש בכלים בקוד פתוח, שמקשים מאוד על הזיהוי שלהם.
פעילויות הקבוצה, כגון איסוף נתונים ראשוני, גניבה של נתוני אימות, וסריקה של משאבים, משמשות כדי להוציא לפועל התקפות נוספות. מגוון השרתים שנפגעו והמשאבים שנסרקו, מצביעים על כך, שייתכן והקבוצה פועלת עבור צד שלישי".
מידע נוסף -
כאן.
