Valószínűleg Európából származik

Tehetetlenek a 2010 óta fertőző számítógépes vírussal?

Crouching Yetinek nevezett kiberkémkedési kampány 2010 végén indult, amely a mai napig aktív, és minden nap újabb áldozatokat vesz célba.

2014.07.31 14:05Szilágyi Szabolcs - ma.hu
nyomtatásKinyomtatom
+Nagyobb betűméret-Kisebb betűméretbetűméret
Freedigitalphotos Stuart Miles

Az Energetic Bear/Crouching Yeti számos, úgynevezett fejlett állandó fenyegetés (APT) kampányban vett részt. A Kaspersky Lab kutatása szerint áldozatai szélesebb körből kerülnek ki, mint azt korábban hitték. Az azonosított áldozatok legnagyobb számban a következő szektorokból kerültek ki: gépipar, gyártás, gyógyszeripar, építőipar, oktatás, információtechnológia.

Az ismert áldozatok száma világszerte meghaladja a 2800-at, melyek között a Kaspersky Lab kutatói 101 szervezetet tudtak azonosítani. Az áldozatok listája jól mutatja a Crouching Yeti érdeklődését a stratégiai célpontok iránt, ugyanakkor sok olyan intézményt is támadott, amelyek nem sorolhatók ebbe a csoportba. A Kaspersky Lab szakértői szerint ezek lehetnek másodlagos áldozatok, de ugyancsak ésszerű magyarázat lehet, hogy a Crouching Yeti nem csupán egy speciális területre fókuszáló, célzott kampány, hanem egyúttal egy széles körű felderítő művelet, amely több különböző szektor iránt mutat érdeklődést.

A megtámadott szervezetek többsége az Egyesült Államokban, Spanyolországban és Japánban működik, de szép számmal található belőlük Németországban, Franciaországban, Olaszországban, Törökországban, Írországban, Lengyelországban és Kínában. Az ismert áldozatok jellegének ismeretében a támadások legkellemetlenebb eredménye a bizalmas adatok, például üzleti titkok és know-how információk illetéktelen kezekbe kerülése lehetett.

Ipari kémkedés
A Crouching Yeti nem nevezhető kifinomult kampánynak. Például a támadók nem vesznek igénybe a nulladik napi sérülékenységeket kihasználó eszközkészleteket, csak olyanokat, amelyek széles körben elérhetők az interneten. Ez azonban nem gátolta abban, hogy sok éven keresztül eredményesen működjön.

A Kaspersky Lab kutatói ötféle típusú rosszindulatú eszköz bevetésére találtak bizonyítékokat. Ezeket az eszközöket a feltört rendszereken található értékes információk ellopására használták. A legszélesebb körben alkalmazott eszköz a Havex trójai: ennek a rosszindulatú programnak 27 különféle változatát fedezték fel a Kaspersky Lab kutatói, valamint több kiegészítő modulját, többek között az ipari vezérlő rendszerekből adatot gyűjtő eszközöket. A Kaspersky Lab termékei észlelik és irtják a Havex-nek ebben a kampányban használt összes változatát.

A parancsokért és a vezérlésért a Havex és a Crouching Yeti által használt többi rosszindulatú eszköz feltört webhelyek kiterjedt hálózatához csatlakozik. Ezek a webhelyek tárolják az áldozatokra vonatkozó információkat, továbbá szolgáltatják a kiegészítő malware modulokat és a fertőzött rendszereket irányító parancsokat.

A letölthető modulok között találhatók eszközök a jelszavak és az Outlook kapcsolatok ellopására, a képernyőtartalmak rögzítésére, valamint bizonyos típusú fájlok - szöveges dokumentumok, táblázatok, PDF fájlok, virtuális meghajtók, jelszóval védett fájlok, pgp biztonsági kulcsok stb. - megkeresésére és ellopására.

Jelenleg a Havex trójai két olyan igen speciális modulja ismert, amelyek funkciója az ipari IT környezetekből származó adatok összegyűjtése és továbbítása a támadóknak. Az OPC szkenner modul a helyi hálózatokban működő OPC szerverekről gyűjt igen részletes adatokat. Ilyen típusú szervereket azokban az üzemekben használnak, ahol több ipari automatizációs rendszer működik. A második modul egy hálózatszkennelő eszköz, amelyet a helyi hálózat átvizsgálására és az OPC/SCADA szoftverhez tartozó portokat figyelő összes számítógép felkutatására terveztek, valamint arra, hogy próbáljon meg kapcsolódni ezekhez a gépekhez, hogy azonosítsa, mely lehetséges OPC/SCADA rendszer fut. További funkciója a modulnak, hogy az összes összegyűjtött adatot eljuttassa a parancs és vezérlő szervereknek.

Rejtélyes eredet
A Kaspersky Lab kutatói számos meta funkciót figyeltek meg, amelyekből kideríthető lehet a kampány mögött álló bűnözők nemzeti hovatartozása. Időbélyeg elemzést végeztek 154 fájlon, és megállapították, hogy a legtöbb minta greenwichi idő szerint 6:00 és 16:00 között készült, vagyis bármelyik európai, illetve kelet-európai ország szóba jöhet.

A szakértők ugyancsak elemezték a szerzők nyelvét. A vizsgált malware-ben található karaktersorozatok angol nyelvűek, amelyeket nem anyanyelvi személyek írtak. A közel 200 rosszindulatú bináris fájlban és kapcsolódó anyagban egyáltalán nem lelhetők fel cirill betűs tartalmak (vagy átiratok), nem úgy, mint a Red October, a Miniduke, a Cosmicduke, a Snake és a TeamSpy esetében. Ugyanakkor találtak francia és svéd anyanyelvű személyekre utaló nyelvi nyomokat.

A Kaspersky Lab szakértői folytatják a kampány kutatását, miközben együttműködnek a rendvédelmi szervekkel és az iparági partnerekkel.

Kapcsolódó írások:

Figyelem! A cikkhez hozzáfűzött hozzászólások nem a ma.hu network nézeteit tükrözik. A szerkesztőség mindössze a hírek publikációjával foglalkozik, a kommenteket nem tudja befolyásolni - azok az olvasók személyes véleményét tartalmazzák.

Kérjük, kulturáltan, mások személyiségi jogainak és jó hírnevének tiszteletben tartásával kommenteljenek!

Amennyiben a Könyjelző eszköztárába szeretné felvenni az oldalt, akkor a hozzáadásnál a Könyvjelző eszköztár mappát válassza ki. A Könyvjelző eszköztárat a Nézet / Eszköztárak / Könyvjelző eszköztár menüpontban kapcsolhatja be.