Kaspersky Lab ha
descubierto la infraestructura utilizada por el conocido grupo APT de habla
rusa Crouching Yeti, también conocido como Energetic Bear
Numerosos servidores
en diferentes países se han visto afectados desde 2016, a veces solo con el fin
de obtener acceso a otros recursos. Otros muchos, incluidos aquellos que alojan
sitios web rusos, se utilizaron para ataques “watering hole”.
Crouching Yeti es un
grupo de habla rusa de amenazas persistentes avanzadas (APT) al que Kaspersky
Lab lleva siguiendo desde 2010. Es muy conocido por dirigirse contra industrias
de todo el mundo, con un interés prioritario por las instalaciones de energía,
con el objetivo de robar datos valiosos de los sistemas. Una de las técnicas
que el grupo utiliza es la de los ataques “watering hole” (los atacantes
inyectan en una web un enlace que redirige a los visitantes a un servidor
malicioso).
Kaspersky Lab
descubrió recientemente una serie de servidores, comprometidos por el grupo,
que pertenecen a diversas organizaciones con sede en Rusia, EE.UU., Turquía y
varios países europeos, no limitándose exclusivamente a empresas industriales.
Según los analistas, estos servidores fueron comprometidos en 2016 y 2017 con
objetivos diferentes. Así, además de los ataques “watering hole”, estos
servidores también se utilizaron en algunos casos como intermediarios para
lanzar ataques contra otros recursos.
Durante el análisis
de los servidores infectados, los analistas identificaron numerosos servidores
y webs utilizados por organizaciones de Rusia, EE. UU., Europa, Asia y
Latinoamérica, que los atacantes habrían escaneado con varias herramientas,
posiblemente para encontrar un servidor que pudiera usarse como host para
alojar sus herramientas y, más adelante, lanzar un ataque. Algunas de las webs
escaneadas podrían considerarse como candidatas para usarse en un “watering
hole”. La gama de webs y servidores que atrajeron a los intrusos es bastante
amplia. Los analistas de Kaspersky Lab descubrieron que los ciberdelincuentes
habían escaneado sitios web muy variados, desde tiendas y servicios online,
organizaciones públicas, ONGs, fabricantes, etc…
Los analistas también
encontraron que el grupo usó herramientas maliciosas de dominio público
diseñadas para analizar servidores y para la búsqueda y recopilación de
información. Además, durante su análisis encontraron un archivo sshd modificado
con una puerta trasera. Este archivo se utilizó para sustituir el archivo
original y la puerta podía abrirse mediante una “contraseña maestra”
“Crouching Yeti es un
famoso grupo de habla rusa que lleva activo muchos años activo y que todavía
tiene éxito en sus ataques contra grupos industriales utilizando ataques tipo
“watering hole”, entre otras técnicas. Nuestros análisis muestran cómo el grupo
comprometió servidores no solo con la intención de crear ataques de “watering
hole”, sino también para otros análisis, y que activamente utilizaron
herramientas de código abierto que posteriormente dificultaron bastante su
identificación” dijo Vladimir Dashchenko, jefe del grupo de análisis de
vulnerabilidades en Kaspersky Lab ICS CERT.
“Las actividades del
grupo, como la recopilación inicial de datos, el robo de datos de autenticación
y el escaneo de recursos, se utilizan para lanzar más ataques posteriores. La
variedad y diversidad de servidores infectados y el tipo de recursos
escaneados, sugiere que el grupo puede estar operando a cuenta de terceros”,
añadió.
Kaspersky Lab
recomienda a las organizaciones que implementen un marco integral contra
amenazas avanzadas, que incluya soluciones de seguridad dedicadas para la
detección de ataques y la respuesta a incidentes junto con servicios expertos e
inteligencia de amenazas. Como parte de Kaspersky Threat Management and
Defense, nuestra plataforma contra ataques dirigidos detecta un ataque en sus
primeras etapas mediante el análisis de la actividad sospechosa que está
teniendo lugar en la red, a la vez que Kaspersky EDR ofrece una mejor
visibilidad del endpoint, aporta soluciones de investigación y respuesta
automática. Todos estos elementos se han visto mejorados con a la inteligencia
de amenazas global y los servicios expertos de Kaspersky Lab especializados en
la búsqueda de amenazas y en la respuesta a incidentes.
Fuente: diarioti.com