APT
Исследователи обнаружили ещё одну долгоиграющую APT-кампанию, нацеленную на хищение важных данных из организаций, связанных со стратегическими промышленными секторами. И снова коммерческие компании, работающие в этих сферах, рискуют потерять важнейшую информацию: на это работает весьма солидный набор вредоносного софта. Кампания получила сразу два названия — Energetic Bear (Энергичный Медведь) и Crouching Yeti (Присевший Йети).
Много лет назад некогда знаменитый разработчик и издатель игр — Sierra — выпустила великолепную серию игр под названием Quest for Glory. Главный герой мог выбирать из трёх классов («Боец», «Волшебник», «Вор», был также скрытый класс «Паладин») с набором соответствующих умений. Если умение «красться» было на нуле, на все попытки перевести персонажа в режим подкрадывания игра реагировала сообщением: «Ты настолько же бесшумен, как средних размеров Громиль».
Громилями (Goons) в игре именовались громоздкие, неуклюжие, довольно тупые, но могучие создания, похожие на орков из Warhammer:
«Громили». Скриншот из игры Quest For Glory IVТак что когда я увидел название Crouching Yeti, на ум пришла как раз та самая фраза про крадущегося Громиля.
К сожалению, речь идёт о не слишком забавной вещи.
Йети громоздки, но скрытны. Нынешняя APT-кампания в этом с ними схожа.
Tweet
Судя по всему, речь идёт о бесшумном уворовывании данных. Сегодня это некий тренд: массивные киберкампании, нацеленные на то, чтобы «наудить» информацию из структур, связанных со стратегическими отраслями. Именно этим Energetic Bear/Crouching Yeti и занимается. В прицел попали: промышленные и машиностроительные сектора, производство, фармацевтические и строительные компании, образовательные учреждения и, естественно, организации, связанные с информационными технологиями. Большая часть жертв действуют в сфере промышленного производства и машиностроения. Судя по всему, у «Медведя-Йети» там имеется некий особый интерес.
Медведь после удачной рыбалки. Скриншот из игры World of Warcraft.
Как указывалось выше, названий два: Energetic Bear и Crouching Yeti. Первое обязано своим происхождением нашим коллегами из CrowdStrike, которые считают, что у кампании — русские корни. Они же объявили, что основной интерес операторы кампании питают к энергетическому сектору. Наши эксперты, в свою очередь, этого не подтверждают. Источник некоторым образом остаётся загадкой (оттуда и название «Йети» — похоже на медведя, но происхождение очень загадочно), кроме того, как показано выше, интерес злоумышленников отнюдь не ограничивается энергосектором.
Кампания действует как минимум с 2010 года, и к настоящему моменту мы насчитали порядка 2800 жертв по всему миру.
Йети. Большой и страшный (скриншот из игры World of Warcraft)
Жертвы либо «обсыпаются» спиэрфишинговыми PDF-файлами со встроенными эксплойтами под Flash (CVE-2011-0611, довольно-таки не новыми, как видно), либо их атакуют с помощью инсталляторов ПО со встроенными троянцами; присутствуют также waterhole-атаки с наборами разнообразных старых эксплойтов.
У атакующих всегда под рукой набор специфических троянцев. Они заражают только системы под Windows и могут включать троянцы типа Havex (его наблюдают чаще всего), Sysmain, бэкдоры ClientX, Karagany и др.
Что ещё неприятнее, так это то, что десятки сайтов, заражённых эксплойтами Yeti, а также сайты, приводящие на них, относятся к числу сугубо легитимных. На них используются уязвимые CMS или веб-приложения. Ни один из эксплойтов, использованых для компрометации серверов, не относится к классу «нулевого дня». То же касается клиентских эксплойтов.
Как видим, ничего особо оригинального и ничего особо утончённого в этой атаке нет. Зато злоумышленники методичны, усердны и «минималистичны». Они используют стабильный, не меняющийся набор инструментов и весьма удачно используют шифрование — симметричные ключи, защищённые публичными ключами атакующих, — для вывода данных. К сожалению, они умудрились «сидеть» ниже всех радаров в течение четырёх лет.
Четыре года «незаметности», 2800 жертв. #protectmybiz, #Enterprisesec, #APT, #CrouchingYeti
Tweet
К хорошим новостям можно отнести то обстоятельство, что решения «Лаборатории Касперского» способны отлавливать и истреблять весь вредоносный софт, который используют авторы этой кампании. В этот раз приседания не помогут.
Скриншот из игры World of Warcraft.
Советы