Homepage > Notizia

Kaspersky Lab pubblica una ricerca sulla campagna malware Crouching Yeti/Energetic Bear

Nuovi tool nocivi, un ampio elenco di vittime caratterizzano la campagna Crouching Yeti, conosciuta anche con il nome di Energetic Bear.

Autore: Redazione BitCity

Pubblicato il: 01/08/2014

Kaspersky Lab ha pubblicato un'analisi approfondita del malware e dell’infrastruttura server di comando e controllo (C&C) che fanno parte della campagna di cyber-spionaggio chiamata Crouching Yetidal Global Research and Analysis Team di Kaspersky Lab (GReAT).
L’inizio della campagna risale alla fine del 2010 ma risulta attiva ancora oggi e mira a nuove vittime ogni giorno. Energetic Bear/Crouching Yetiè coinvolto in una serie di campagne composte da attacchi persistenti di tipo avanzato (APT). Secondo la ricerca di Kaspersky Lab, le vittime riguardano un più ampio numero di imprese di quante previste inizialmente. I settori nei quali sono state identificate il maggior numero di vittime sono:
  • Industriale/meccanico
  • Manifatturiero
  • Farmaceutico
  • Costruzioni
  • Istruzione
  • Information Technology
Il numero totale di vittime accertate è di oltre 2.800 in tutto il mondo, tra le quali i ricercatori di Kaspersky Lab hanno identificato 101 organizzazioni. La lista delle vittime indica che l'interesse di Crouching Yeti sono gli obiettivi strategici, ma non solo, dimostra anche interessi verso istituzioni non così ovvie.
Gli esperti di Kaspersky Lab credono che potrebbe trattarsi di vittime collaterali, per cui potrebbe essere più opportuno considerare Crouching Yeti non solo come una campagna che mira ad una specifica area di interesse, ma come una campagna più ampia che rivolge il proprio interesse a diversi settori.
Le organizzazioni vittime di questa campagna si trovano per lo più negli Stati Uniti, Spagna, Giappone, Germania, Francia, Italia, Turchia, Irlanda, Polonia e Cina. Data la natura delle vittime che sono state colpite, l'impatto che questa campagna potrebbe avere su queste organizzazioni è la divulgazione di dati sensibili come informazioni commerciali riservate e know-how. Crouching Yeti è sicuramente una campagna moto sofisticata.
Ad esempio, i criminali che si nascondono dietro a questo attacco non hanno utilizzato nessun exploit zero-day, solo exploit facilmente recuperabili su Internet. Ma questo non ha impedito alla campagna di rimanere nascosta per diversi anni.I ricercatori di Kaspersky Lab hanno trovato prove dell'esistenza di cinque tipi di strumenti nocivi utilizzati dagli aggressori per impossessarsi di informazioni preziose dai sistemi compromessi:
  • Havex Trojan
  • SysMain Trojan
  • Backdoor ClientX
  • Backdoor Karagany e stealer collegati
  • Lateral movement e tool second stage
Lo strumento più utilizzato è Havex Trojan. In totale i ricercatori di Kaspersky Lab hanno scoperto 27 versioni diverse di questo programma dannoso e diversi moduli aggiuntivi tra cui alcuni strumenti finalizzati alla raccolta di dati provenienti da sistemi di controllo industriale. Per il comando e controllo, Havex e gli altri strumenti nocivi usati da Crouching Yeti, si connettono a una vasta rete di siti web violati.
Questi siti ospitano informazioni sulla vittima e smistano comandi ai sistemi infetti oltre che moduli di malware aggiuntivi. L'elenco dei moduli scaricabili include strumenti che servono per rubare password e contatti di Outlook, catturare screenshot e moduli per la ricerca e il furto di alcuni tipi di file: documenti di testo, fogli di calcolo, database, file PDF, unità virtuali, file protetti da password, chiavi di sicurezza pgp, e così via.
Nicolas Brulez, Principal Security Researcher di Kaspersky Lab, ha dichiarato: "Energetic Bear è stato il primo nome dato a questa campagna da Crowd Strike in base alla loro terminologia. Bear fa riferimento al paese di origine in quanto Crowd Strike ritiene che la campagna sia di origine russa. Kaspersky Lab sta ancora indagando su tutte i collegamenti esistenti; tuttavia, al momento non sono presenti prove sufficienti per stabilirne l’origine. Anche la nostra analisi dimostra che l'attenzione globale dei criminali è molto più ampia e non mira solo ai produttori di energia. Sulla base di questi dati, abbiamo deciso di dare un nuovo nome al fenomeno: lo Yeti ricorda un po’ un orso, ma ha un'origine misteriosa." Gli esperti di Kaspersky Lab stanno continuando la loro indagine collaborando con le forze dell'ordine e i partner industriali. Il testo integrale della ricerca è disponibile su Securelist.com.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di BitCity.it iscriviti alla nostra Newsletter gratuita.

Tag:

Notizie che potrebbero interessarti: