A különböző országokban található szervereket már 2016 óta használják, néha azért, hogy hozzáférjenek más forrásokhoz. Más szervereket, köztük az orosz nyelvű weblapokat tárolókat watering hole-nak használták. A watering hole támadások során a támadó olyan honlapot tör fel, amit a kiszemelt áldozat gyakran látogat. A kártékony kód aztán egy látogatás során észrevétlenül települhet a megcélzott gépre.

A Crouching Yeti egy olyan APT (Advanced Persistent Threat – Fejlett Tartós Fenyegetés) csoport, amelyet a Kaspersky Lab már 2010 óta figyel. Leginkább az ipari szektor elleni támadásokról ismert világszerte, elsősorban energetikai létesítményekre fókuszálva azzal a céllal, hogy értékes adatokat lopjanak. Az egyik módszer, amelyet a csoport gyakran használ, watering hole támadáson keresztül zajlik: a támadók megfertőzték a webhelyeket, amelyeken egy link átirányította a látogatókat egy rosszindulatú szerverre.

Kép: Pixabay

A Kaspersky Lab a közelmúltban több olyan szervert is észlelt, amelyet a csoport feltört és amelyek orosz, amerikai, török és európai uniós tagállamok különböző szervezeteihez tartoznak és nemcsak ipari vállalatokat érint. A kutatók szerint ezeket a szervereket 2016-ban és 2017-ben törték fel különböző okokból. Például nemcsak watering hole jellegű támadásokra használták, hanem arra, hogy közvetítőként más erőforrásokat is meg tudjanak támadni.

A fertőzött szerverek elemzése során a kutatók számos olyan weboldalt és szervert találtak Oroszországban, Amerikában, Európában, Ázsiában és Latin-Amerikában, amelyeket a bűnözők különböző eszközökkel vizsgáltak valószínűleg azért, hogy kialakíthassak egy bázist fegyverkészletüknek vagy watering hole támadásokhoz használhassák fel. Úgy tűnik, a csoport szintet lépett és érdeklődési körét kiterjesztette, ugyanis a szakértők azt tapasztalták, hogy a kiberbűnözők számos különböző típusú weboldalt elemeztek, köztük webshopok, online szolgáltatások, állami szervezetek, nonprofit szervezetek, és gyártók honlapjait.

Továbbá a kiberbiztonsági szakemberek azt is detektálták, hogy a csoport olyan nyilvánosan elérhető kártékony eszközkészletet használt, amelyeket kifejezetten szerverek elemzésére, valamint információgyűjtésre terveztek. Ezenkívül egy módosított sshd fájlt találtak, amelyet előre telepített backdoor-ral láttak el. Ezt arra használták, hogy az eredeti fájlokat lecseréljék és egyúttal egy új „master” jelszóval tegyék hozzáférhetővé.

„A Rejtőzködő Jeti (Crouching Yeti) egy hírhedt orosz csoport, amely évek óta aktív és folyamatosan eredményesen támadja az ipari szervezeteket többek között a watering hole módszerrel. A kutatásaink eredményei azt mutatják, hogy a feltört szervereket nemcsak watering hole támadások indítására használják, hanem továbbiak vizsgálatára is. Mivel gyakran használnak nyílt forrású eszközöket, ezért az azonosításuk nehezebbé vált. A csoport tevékenységei, például az adatgyűjtés, a hitelesítési adatok ellopása, az erőforrások kihasználása, újabb támadásokat tesznek lehetővé. A fertőzött szerverek és a vizsgált erőforrások sokszínűsége azt sugallja, hogy a csoport esetleg harmadik fél kérésére dolgozik” – mondta Vladimir Dashcenko, a Kaspersky Lab ICS CERT részlegének Sérülékenység Kutatócsoportjának vezetője.

A Kaspersky Lab azt javasolja a szervezeteknek, hogy készítsenek olyan átfogó stratégiát a kibercsapdák, köztük az APT támadások ellen, amely képes azonosítani a célzott támadásokat, gyorsan reagál a kiberincidensekre. A stratégia tartalmazza a megfelelő biztonsági megoldás bevetését, kiegészítve egy IT szakértő csapattal és kibercsapda adat-állománnyal.