Cybersecurity: Kaspersky Lab scopre l’infrastruttura di Crouching Yeti

Pubblicato il 23 Apr 2018

security-2168233_1280


Kaspersky Lab ha scoperto l’infrastruttura utilizzata dal gruppo APT di lingua russa Crouching Yeti, conosciuto anche come Energetic Bear; l’infrastruttura include anche diversi server compromessi in tutto il mondo.

Secondo la ricerca dell’azienda di sicurezza informatica, dal 2016 sono stati numerosi i server colpiti in diversi paesi, in alcuni casi con l’obiettivo di accedere ad altre risorse. Crouching Yeti è un gruppo APT di lingua russa che Kaspersky Lab monitora dal 2010. È conosciuto in tutto il mondo per avere come obiettivo principale il settore industriale, con un focus primario sulle strutture energetiche e con lo scopo principale di rubare dati preziosi dai sistemi. Una delle tecniche più utilizzate dal gruppo è l’attacco “watering hole”: gli aggressori modificano i siti web inserendo un link che reindirizza i visitatori a un server compromesso.

Di recente Kaspersky Lab ha scoperto diversi server attaccati dal gruppo, appartenenti ad organizzazioni con sede in Russia, Stati Uniti, Turchia e vari paesi europei, non solo relativi a realtà industriali. Secondo i ricercatori, sono stati colpiti tra il 2016 e il 2017 con scopi diversi. Pertanto questi attacchi, al di là di essere “watering hole”, in alcuni casi sono stati utilizzati come “ponte” per condurre azioni criminali verso altre risorse.

Nel processo di analisi dei server infetti, i ricercatori hanno identificato numerosi siti web e server utilizzati da organizzazioni in Russia, Stati Uniti, Europa, Asia e America Latina che gli aggressori avevano esaminato con vari tool per trovare un server che potesse essere utilizzato come punto d’accesso per ospitare i tool dei cybercriminali e poi sviluppare un attacco.

Alcuni dei siti presi in esame potrebbero essersi rivelati interessanti per gli aggressori come possibili “watering hole”. Il range di siti web e server che ha catturato la loro attenzione è ampio; infatti i ricercatori di Kaspersky Lab hanno scoperto che gli aggressori hanno esaminato numerosi siti web di tante tipologie, inclusi quelli di negozi e servizi online, istituzioni pubbliche, organizzazioni non governative, industrie manifatturiere.

È stato inoltre scoperto che il gruppo utilizzava tool dannosi open-source, progettati per analizzare i server e per cercare e raccogliere informazioni. In più è stato scoperto un file sshd modificato con una backdoor preinstallata. Tutto ciò è stato usato per sostituire il file originale in modo da essere autorizzato con una “master password”.

Kaspersky Lab consiglia di implementare un framework completo contro le minacce avanzate che comprenda soluzioni di sicurezza dedicate al rilevamento di attacchi mirati e all’incident response, insieme a servizi di expertise e intelligence sulle minacce.

Valuta la qualità di questo articolo

Redazione

Innovation Post è un portale di informazione e approfondimento dedicato alle politiche e alle tecnologie per l'innovazione nel settore manifatturiero. Il portale è nato alla fine di settembre 2016 e si è affermato come riferimento d’elezione per chi vuole informarsi su industria 4.0, automazione, meccatronica, Industrial IT, Cyber security industriale, ricerca e formazione, domotica e building automation. Innovation Post è una testata del Network Digital360 diretta da Franco Canna

email Seguimi su

Articoli correlati

Articolo 1 di 4