A Kaspersky Lab egy olyan kiber-infrastruktúrát azonosított, amelyet a hírhedt orosz nyelvű APT csoport használ, a Rejtőzködő Jeti (Crouching Yeti), más néven az Energetic Bear és amely számos meghekkelt szerverből áll világszerte.
A kutatás szerint a különböző országokban található szervereket már 2016 óta használják, néha azért, hogy hozzáférjenek más forrásokhoz. Más szervereket, köztük az orosz nyelvű weblapokat tárolókat watering hole-nak használták. A watering hole támadások során a támadó olyan honlapot tör fel, amit a kiszemelt áldozat gyakran látogat. A kártékony kód aztán egy látogatás során észrevétlenül települhet a megcélzott gépre.
A Crouching Yeti egy olyan APT (Advanced Persistent Threat – Fejlett Tartós Fenyegetés) csoport, amelyet a Kaspersky már 2010 óta figyel. Leginkább az ipari szektor elleni támadásokról ismert világszerte, elsősorban energetikai létesítményekre fókuszálva azzal a céllal, hogy értékes adatokat lopjanak. Az egyik módszer, amelyet a csoport gyakran használ, watering hole támadáson keresztül zajlik: a támadók megfertőzték a webhelyeket, amelyeken egy link átirányította a látogatókat egy rosszindulatú szerverre.
A Kaspersky a közelmúltban több olyan szervert is észlelt, amelyet a csoport feltört és amelyek orosz, amerikai, török és európai uniós tagállamok különböző szervezeteihez tartoznak és nemcsak ipari vállalatokat érint. A kutatók szerint ezeket a szervereket 2016-ban és 2017-ben törték fel különböző okokból. Például nemcsak watering hole jellegű támadásokra használták, hanem arra, hogy közvetítőként más erőforrásokat is meg tudjanak támadni.
A fertőzött szerverek elemzése során a kutatók számos olyan weboldalt és szervert találtak Oroszországban, Amerikában, Európában, Ázsiában és Latin-Amerikában, amelyeket a bűnözők különböző eszközökkel vizsgáltak valószínűleg azért, hogy kialakíthassak egy bázist fegyverkészletüknek vagy watering hole támadásokhoz használhassák fel. Úgy tűnik, a csoport szintet lépett és érdeklődési körét kiterjesztette, ugyanis a szakértők azt tapasztalták, hogy a kiberbűnözők számos különböző típusú weboldalt elemeztek, köztük webshopok, online szolgáltatások, állami szervezetek, nonprofit szervezetek, és gyártók honlapjait.
Továbbá a kiberbiztonsági szakemberek azt is detektálták, hogy a csoport olyan nyilvánosan elérhető kártékony eszközkészletet használt, amelyeket kifejezetten szerverek elemzésére, valamint információgyűjtésre terveztek. Ezenkívül egy módosított sshd fájlt találtak, amelyet előre telepített backdoor-ral láttak el. Ezt arra használták, hogy az eredeti fájlokat lecseréljék és egyúttal egy új „master” jelszóval tegyék hozzáférhetővé.
„A Rejtőzködő Jeti (Crouching Yeti) egy hírhedt orosz csoport, amely évek óta aktív és folyamatosan eredményesen támadja az ipari szervezeteket többek között a watering hole módszerrel. A kutatásaink eredményei azt mutatják, hogy a feltört szervereket nemcsak watering hole támadások indítására használják, hanem továbbiak vizsgálatára is. Mivel gyakran használnak nyílt forrású eszközöket, ezért az azonosításuk nehezebbé vált. A csoport tevékenységei, például az adatgyűjtés, a hitelesítési adatok ellopása, az erőforrások kihasználása, újabb támadásokat tesznek lehetővé. A fertőzött szerverek és a vizsgált erőforrások sokszínűsége azt sugallja, hogy a csoport esetleg harmadik fél kérésére dolgozik” – mondta Vlagyimir Dascsenkó, a Kaspersky Lab ICS CERT részlegének Sérülékenység Kutatócsoportjának vezetője.
