11 августа 2014

«Присевший Йети»: всё равно поймали

Бизнес

Исследователи обнаружили ещё одну долгоиграющую APT-кампанию, нацеленную на хищение важных данных из организаций, связанных со стратегическими промышленными секторами. И снова коммерческие компании, работающие в этих сферах, рискуют потерять важнейшую информацию: на это работает весьма солидный набор вредоносного софта. Кампания получила сразу два названия — Energetic Bear (Энергичный Медведь) и Crouching Yeti (Присевший Йети).

Много лет назад некогда знаменитый разработчик и издатель игр — Sierra — выпустила великолепную серию игр под названием Quest for Glory. Главный герой мог выбирать из трёх классов («Боец», «Волшебник», «Вор», был также скрытый класс «Паладин») с набором соответствующих умений. Если умение «красться» было на нуле, на все попытки перевести персонажа в режим подкрадывания игра реагировала сообщением: «Ты настолько же бесшумен, как средних размеров Громиль».

Громилями (Goons) в игре именовались громоздкие, неуклюжие, довольно тупые, но могучие создания, похожие на орков из Warhammer:

"Громили". Скриншот из игры Quest For Glory IV

«Громили». Скриншот из игры Quest For Glory IV

Так что когда я увидел название Crouching Yeti, на ум пришла как раз та самая фраза про крадущегося Громиля.

К сожалению, речь идёт о не слишком забавной вещи.

Судя по всему, речь идёт о бесшумном уворовывании данных. Сегодня это некий тренд: массивные киберкампании, нацеленные на то, чтобы «наудить» информацию из структур, связанных со стратегическими отраслями. Именно этим Energetic Bear/Crouching Yeti и занимается. В прицел попали: промышленные и машиностроительные сектора, производство, фармацевтические и строительные компании, образовательные учреждения и, естественно, организации, связанные с информационными технологиями. Большая часть жертв действуют в сфере промышленного производства и машиностроения. Судя по всему, у «Медведя-Йети» там имеется некий особый интерес.

Медведь после удачной рыбалки. Скриншот из игры World of Warcraft.

Медведь после удачной рыбалки. Скриншот из игры World of Warcraft.

Как указывалось выше, названий два: Energetic Bear и Crouching Yeti. Первое обязано своим происхождением нашим коллегами из CrowdStrike, которые считают, что у кампании — русские корни. Они же объявили, что основной интерес операторы кампании питают к энергетическому сектору. Наши эксперты, в свою очередь, этого не подтверждают. Источник некоторым образом остаётся загадкой (оттуда и название «Йети» — похоже на медведя, но происхождение очень загадочно), кроме того, как показано выше, интерес злоумышленников отнюдь не ограничивается энергосектором.

Кампания действует как минимум с 2010 года, и к настоящему моменту мы насчитали порядка 2800 жертв по всему миру.

Йети. Большой и страшный (скриншот из игры World of Warcraft)

Йети. Большой и страшный (скриншот из игры World of Warcraft)

Жертвы либо «обсыпаются» спиэрфишинговыми PDF-файлами со встроенными эксплойтами под Flash (CVE-2011-0611, довольно-таки не новыми, как видно), либо их атакуют с помощью инсталляторов ПО со встроенными троянцами; присутствуют также waterhole-атаки с наборами разнообразных старых эксплойтов.

У атакующих всегда под рукой набор специфических троянцев. Они заражают только системы под Windows и могут включать троянцы типа Havex (его наблюдают чаще всего), Sysmain, бэкдоры ClientX, Karagany и др.

Что ещё неприятнее, так это то, что десятки сайтов, заражённых эксплойтами Yeti, а также сайты, приводящие на них, относятся к числу сугубо легитимных. На них используются уязвимые CMS или веб-приложения. Ни один из эксплойтов, использованых для компрометации серверов, не относится к классу «нулевого дня». То же касается клиентских эксплойтов.

Как видим, ничего особо оригинального и ничего особо утончённого в этой атаке нет. Зато злоумышленники методичны, усердны и «минималистичны». Они используют стабильный, не меняющийся набор инструментов и весьма удачно используют шифрование — симметричные ключи, защищённые публичными ключами атакующих, — для вывода данных. К сожалению, они умудрились «сидеть» ниже всех радаров в течение четырёх лет.

К хорошим новостям можно отнести то обстоятельство, что решения «Лаборатории Касперского» способны отлавливать и истреблять весь вредоносный софт, который используют авторы этой кампании. В этот раз приседания не помогут.

Скриншот из игры World of Warcraft.

Скриншот из игры World of Warcraft.