O Crouching Yeti é um grupo de APT russo que a Kaspersky Lab tem acompanhado desde 2010, conhecido pelos ataques a setores industriais em todo o mundo, principalmente instalações energéticas, com o objetivo de roubar informações valiosas dos sistemas das vítimas. Uma das técnicas mais utilizadas pelo grupo consiste na utilização de watering holes: os hackers inserem links nos websites que redirecionam os visitantes para servidores maliciosos.
Recentemente, e de acordo com o portal Engadget, a Kaspersky Lab descobriu vários servidores, comprometidos pelo grupo, pertencentes a diferentes organizações sediadas na Rússia, Turquia, Estados Unidos e vários países europeus, não limitados a empresas industriais. De acordo com os investigadores, estas foram atacadas em 2016 e 2017 com diferentes objetivos – além de watering holes, também foram utilizadas como intermediárias na realização de ataques a outros recursos.
Durante o processo de análise das infraestruturas infetadas, os investigadores identificaram múltiplos sites e servidores, utilizados por empresas russas, norte-americanas, europeias, asiáticas e latino-americanas, que os hackers tinham analisado, possivelmente para encontrar um servidor que alojasse as suas ferramentas e através do qual conseguissem desenvolver um ataque. Alguns dos sites e servidores analisados podem fazer parte de um conjunto de locais que poderão ter despertado o interesse dos hackers enquanto candidatos a watering holes. Os investigadores da Kaspersky Lab descobriram também que os hackers analisaram inúmeros sites de diferentes tipos, incluindo lojas e serviços online, organizações públicas, ONG, empresas de produção, etc.
Além disso, os investigadores chegaram à conclusão que o grupo utilizou ferramentas disponíveis gratuitamente, desenvolvidas para analisar servidores e recolher informações. Foi também detetado um ficheiro modificado SSHD com uma backdoor pré-instalada. Este foi utilizado para substituir o ficheiro original e poderia obter autorizações através de uma “palavra-passe mestre”.
“As atividades do grupo, como a recolha de informações inicial, o roubo de dados de autentificação e o scan de recursos, são utilizadas para levar a cabo novos ataques. A diversidade de servidores infetados e de recursos analisados sugere que o grupo pode operar sob interesse de terceiros” acrescentou.
A Kaspersky Lab recomenda que as empresas implementem um quadro abrangente de medidas contra ameaças avançadas, composto por soluções de segurança específicas contra ataques direcionados e resposta a incidentes, bem como inteligência de ameaças e serviços especializados. Inserido no Kaspersky Threat Management and Defense, a plataforma anti ataques direcionados deteta um ataque nas suas fases iniciais ao analisar atividade de rede suspeita, enquanto o Kaspersky EDR proporciona uma maior visibilidade dos endpoints, capacidade de investigação e automação de resposta. Estas são melhoradas graças à inteligência de ameaças global e aos serviços especializados em deteção de ameaças e resposta a incidentes da Kaspersky Lab.
