Kaspersky Lab ha descubierto la infraestructura utilizada por Crouching Yeti, el conocido grupo APT de habla rusa, también conocido como Energetic Bear, que incluye servidores infectados en todo el mundo. Según la investigación, numerosos servidores ubicados en diferentes países han resultado afectados desde 2016, a veces con el fin de obtener acceso a distintos recursos. Otros, incluidos aquellos que alojan sitios web rusos, fueron utilizados para realizar ataques de watering hole.
Crouching Yeti es un grupo de amenaza persistente avanzada (APT) de habla rusa que Kaspersky Lab ha estado rastreando desde 2010. Es más conocido por dirigirse a sectores industriales de todo el mundo, con un interés especial por las instalaciones de energía, con el objetivo principal de robar información valiosa de los sistemas de sus víctimas. Una de las técnicas que el grupo ha utilizado ampliamente es la de los ataques watering hole, los cuales consisten en que los atacantes infectan sitios web con un enlace que redirige a los visitantes hacia un servidor malicioso.
Recientemente, Kaspersky Lab ha descubierto una serie de servidores, infectados por el grupo, que pertenecen a diferentes organizaciones con sede en Rusia, Estados Unidos, Turquía y países europeos, y que no se limitan a las empresas industriales. Según los investigadores, en 2016 y 2017 fueron atacados con diferentes propósitos. Por consiguiente, además del ataque watering hole, fueron utilizados en algunos casos como intermediarios para realizar ataques contra otros recursos.
En el proceso de analizar los servidores infectados, los investigadores identificaron numerosos sitios web y servidores empleados por organizaciones en Rusia, EE.UU., Europa, Asia y Latinoamérica que los atacantes habían analizado con varias herramientas, posiblemente para encontrar un servidor que pudiera usarse con el fin de establecer un punto de apoyo para alojar las herramientas de los atacantes y posteriormente emprender un ataque. Algunos de los sitios explorados pudieron haber sido considerados como candidatos para los ataques watering hole por parte de los atacantes.
La serie de sitios web y servidores que captaron la atención de los intrusos es extensa. Los investigadores de Kaspersky Lab descubrieron que los atacantes habían explorado numerosos sitios web de diferentes tipos, entre ellos tiendas y servicios en línea, instituciones públicas, ONGs, empresas de manufactura, entre otras.
Asimismo, los expertos descubrieron que el grupo utilizó herramientas maliciosas que se encuentran al alcance del público, diseñadas para analizar servidores y para buscar y recopilar información. Se descubrió además un archivo sshd modificado con una puerta trasera preinstalada. Esto se utilizó para reemplazar el archivo original y podría autorizarse con una ‘contraseña maestra’.
“Crouching Yeti es un infame grupo de habla rusa que ha estado activo durante muchos años y continúa apuntando con éxito a las organizaciones industriales, valiéndose de ataques del tipo watering hole, entre otras técnicas. Nuestros hallazgos muestran que el grupo afectó a los servidores, no solo para establecer los pozo sino también para realizar más exploraciones, y usaron activamente herramientas de código abierto que hicieron mucho más difícil su identificación”, dijo Vladimir Dashchenko, Director del grupo de investigación de vulnerabilidades en Kaspersky Lab ICS CERT.
“Las actividades del grupo, como la recopilación inicial de datos, el robo de datos de autenticación y la exploración de recursos, se utilizan para lanzar más ataques. La diversidad de los servidores infectados y recursos explorados sugiere que el grupo podría estar operando a nombre de terceros”, agregó.
Kaspersky Lab recomienda que las organizaciones implementen un marco integral contra las amenazas avanzadas, el cual comprende soluciones de seguridad dedicadas a la detección de ataques dirigidos y la respuesta a incidentes, junto con servicios expertos e inteligencia contra amenazas. Como parte de Kaspersky Threat Management and Defense, nuestra plataforma contra ataques dirigidos detecta el ataque en las primeras etapas mediante el análisis de actividad sospechosa en la red, mientras que Kaspersky EDR proporciona una mejor visibilidad del punto final, capacidades de investigación y automatización de la respuesta. Estos mejoran aún más al añadir la inteligencia global contra amenazas y los servicios expertos de Kaspersky Lab con especialización en la búsqueda de amenazas y la respuesta a incidentes.
Puede encontrar más detalles sobre la actividad reciente de Crouching Yeti en el sitio web de Kaspersky Lab ICS CERT