Отчеты о целевых атаках (APT)

Почему мы переименовали Energetic Bear в Crouching Yeti

Report (PDF eng.)   
Appendix (PDF eng.)   

Energetic Bear/Crouching Yeti (энергетический медведь/крадущийся йети) – группа киберпреступников, замешанная в нескольких вредоносных кампаниях класса APT (advanced persistent threat). Группа начала активную деятельность не позднее конца 2010 года. Интересы киберпреступников распространяются, в частности, на следующие секторы экономики:

  • Энергетика/машиностроение
  • Промышленность
  • Фармацевтический сектор
  • Строительство
  • Образование
  • Информационные технологии

Большинство из известных нам жертв работают в энергетике/машиностроении, что говорит об особом интересе группы к этому сектору.

Для заражения жертв злоумышленники применяют три метода:

  • Целевой фишинг с использованием PDF-документов, содержащих flash-эксплойт (CVE-2011-0611)
  • Инсталляторы с внедренной в них троянской программой
  • Атаки типа watering hole с применением различных известных эксплойтов

В ходе атак группа Crouching Yeti применяет несколько видов вредоносных программ, в том числе троянских, причем все они предназначены для операционных систем Windows:

  • Троянец Havex
  • Троянец Sysmain
  • Бэкдор ClientX
  • Бэкдор Karagany и связанные с ним средства для кражи данных
  • Средства распространения по сети и инструменты, применяемые на втором этапе заражения

В качестве командного сервера эти вредоносные программы используют большую сеть взломанных сайтов, на которых размещены вредоносные модули и информация о жертвах, и с которых на зараженные компьютеры передаются команды.

Десятки известных нам ресурсов, на которых размещаются используемые Yeti эксплойты, а также сайтов, с которых на эти ресурсы перенаправляются пользователи, – это взломанные изначально легитимные ресурсы, на которых были установлены уязвимые системы управления контентом или применялись уязвимые веб-приложения. Среди эксплойтов, примененных для взлома серверов, не было эксплойтов нулевого дня. Среди использовавшихся на стороне клиента эксплойтов с открытым исходным кодом из системы Metasploit Framework также не было эксплойтов нулевого дня.

Всего нам известно примерно о 2 800 жертвах по всему миру, причем наиболее часто для проведения атак использовался троянец Havex.

По нашему мнению, эта группа киберпреступников отличается целеустремленностью и сосредоточена на очень узком секторе промышленности, имеющем стратегическое значение. Она использует различные способы для заражения жертв и кражи у них стратегически важной информации. На основании проанализированных данных можно сделать следующие предварительные выводы:

  • Определить страну происхождения членов группы на данный момент не представляется возможным
  • Круг глобальных интересов злоумышленников гораздо шире, чем энергетика
  • Примененяется набор средств, мало изменяющийся с течением времени
  • Управляемый, минималистский, методичный подход к обеспечению устойчивой работы группы
  • Грамотное применение шифрования (злоумышленники используют симметричный шифр, защищенный шифрованием с открытым ключом, для передачи файлов журналов в зашифрованном виде).

Полностью отчет можно прочитать здесь.

Часто задаваемые вопросы

Что такое Yeti/Energetic Bear?

Energetic Bear/Yeti – группа киберпреступников, замешанная в нескольких вредоносных кампаниях, активность которой началась не позднее конца 2010 года. Группа использует различные способы распространения своих вредоносных программ. Наибольший интерес представляют перепаковка инсталляторов легитимных программ и атаки типа watering hole. Компьютеры жертв, представляющих несколько разных секторов экономики, заражаются бэкдорами.

Каковы цели этой вредоносной кампании?

По нашему мнению, цель кампании – кража информации. Учитывая гетерогенный состав жертв, представляется, что атакующих интересовали различные темы, и они решили атаковать некоторые из крупнейших мировых организаций и компаний с целью получения новейших сведений.

Почему вы считаете, что эта группа заслуживает внимания?

По нашему мнению, у этой кампании есть ряд примечательных особенностей. Объекты, используемые для заражения компьютеров и кражи данных, не представляют особого интереса, однако группа действует эффективно, она чрезвычайно настойчива, ей удавалось заражать значительное число компаний и организаций по всему миру в течение длительного времени; у нее есть излюбленный набор инструментов, который позволяет нам идентифицировать группу по используемым ею приемам и инструментам. С точки зрения этой последней особенности любопытно, что группа применяет набор эксплойтов LightsOut для заражения пользователей через атаки типа watering hole.

Почему не Energetic Bear? Для чего вы присвоили группе новое имя?

Energetic Bear  – первоначальное имя, данное группе компанией CrowdStrike, исходя из применяемых этой компанией правил именования. Проанализировав полученные данные, мы можем подтвердить, что жертвы группы представляют не только энергетический сектор, но и многие другие секторы экономики. Тег Bear (медведь) отражает тот факт, что, по мнению CrowdStrike, группа имеет российское происхождение. Нам не удалось подтвердить этот тезис, поэтому мы решили дать группе другое имя. У йети (снежных людей) есть что-то общее с медведями, но их происхождение – тайна за семью печатями :).

Когда началась кампания? Продолжается ли атака в настоящее время?

Некоторые из обнаруженных объектов, относящихся к данной кампании, свидетельствуют о том, что она началась в конце 2010 года. Группа продолжает активно действовать, у нее каждый день появляются новые жертвы.

Каким образом распространялось вредоносное ПО?

Вредоносное ПО распространяется с помощью трех методов:

  • Целевой фишинг с использованием PDF-документов, содержащих flash-эксплойт (CVE-2011-0611)
  • Инсталляторы с внедренной в них троянской программой
  • Атаки типа watering hole с применением различных известных эксплойтов

После первоначального заражения машины злоумышленники имеют возможность устанавливать на ней дополнительные модули.

Наиболее часто при проведении атак используется троянская программа Havex; мы обнаружили 27 различных версий этой программы.

Каковы возможные последствия для жертв атаки?

С учетом того, что представляют собой известные нам жертвы атак, наиболее серьезным негативным последствием этих атак можно считать раскрытие важной конфиденциальной информации, такой как коммерческая тайна и технологические секреты компаний-жертв.

Кто осуществляет атаки? Из каких они стран?

Мы не располагаем ни отдельными сведениями, ни наборами данных, которые бы позволили прийти к определенному выводу относительно страны происхождения данной группы.

Кто стал жертвой атаки? Каков масштаб атаки?

Всего нам известно примерно о 2 800 жертвах по всему миру.
Большинство известных нам жертв работают в секторе энергетики/машиностроения.

Интересы киберпреступников распространяются, в частности, на следующие секторы экономики:

  • Энергетика/машиностроение
  • Промышленность
  • Фармацевтический сектор
  • Строительство
  • Образование
  • Информационные технологии

Наиболее сильно пострадавшие от атак страны: США, Испания, Япония, Германия, Франция, Италия, Турция, Ирландия, Польша и Китай.

Как пользователи (домашние и корпоративные) могут защититься от подобных атак?

Наши продукты детектируют и удаляют все варианты вредоносного ПО, применяемые в рамках данной кампании, в том числе (но не только) следующие:

  • Trojan.Win32.Sysmain.xxx
  • Trojan.Win32.Havex.xxx
  • Trojan.Win32.ddex.xxx
  • Backdoor.MSIL.ClientX.xxx
  • Trojan.Win32.Karagany.xxx
  • Trojan-Spy.Win32.HavexOPC.xxx
  • Trojan-Spy.Win32.HavexNk2.xxx
  • Trojan-Dropper.Win32.HavexDrop.xxx
  • Trojan-Spy.Win32.HavexNetscan.xxx
  • Trojan-Spy.Win32.HavexSysinfo.xxx

Все используемые в рамках вредоносной кампании эксплойты также детектируются продуктам «Лаборатории Касперского». Информация о них представлена в отчете.

Почему мы переименовали Energetic Bear в Crouching Yeti

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике