O Crouching Yeti é um grupo de APT russo que a Kaspersky Lab “tem acompanhado desde 2010, conhecido pelos ataques a sectores industriais em todo o mundo, principalmente instalações energéticas, com o objectivo de roubar informações valiosas dos sistemas das vítimas”.
Uma das técnicas mais utilizadas pelo grupo consiste na utilização de watering holes: os hackers inserem links nos websites que redireccionam os visitantes para servidores maliciosos.
Recentemente, a Kaspersky Lab descobriu vários servidores, comprometidos pelo grupo, pertencentes a diferentes organizações sediadas na Rússia, Turquia, Estados Unidos e vários países europeus, não limitados a empresas industriais.
De acordo com os investigadores, estas foram atacadas em 2016 e 2017 com diferentes objectivos – além de watering holes, também foram utilizadas como intermediárias na realização de ataques a outros recursos.
Durante o processo de análise das infraestruturas infectadas, os investigadores identificaram múltiplos websites e servidores que os hackers tinham analisado, possivelmente para encontrar um servidor que alojasse as suas ferramentas e através do qual conseguissem desenvolver um ataque.
Alguns dos sites e servidores analisados podem fazer parte de um conjunto de locais que poderão ter despertado o interesse dos hackers enquanto candidatos a watering holes.
Os investigadores da Kaspersky Lab descobriram também que os hackers analisaram inúmeros sites de diferentes tipos, incluindo lojas e serviços online, organizações públicas, ONG, empresas de produção, etc.
Além disso, os investigadores chegaram à conclusão que o grupo utilizou ferramentas disponíveis gratuitamente, desenvolvidas para analisar servidores e recolher informações.
Foi também detectado um ficheiro modificado SSHD com uma backdoor pré-instalada. Este foi utilizado para substituir o ficheiro original e poderia obter autorizações através de uma “palavra-passe mestre”.
A Kaspersky Lab recomenda que as empresas implementem um quadro abrangente de medidas contra ameaças avançadas, composto por soluções de segurança específicas contra ataques direccionados e resposta a incidentes, bem como inteligência de ameaças e serviços especializados.
Via Kaspersky Lab.