Megkerült a Rejtőzködő Jeti

2018. április 27. péntek - 14:10 / piacesprofit.hu
  •    

A Kaspersky Lab egy olyan kiber-infrastruktúrát azonosított, amelyet a hírhedt orosz nyelvű APT csoport használ, a Rejtőzködő Jeti (Crounching Yeti), más néven az Energetic Bear és amely számos meghekkelt szerverből áll világszerte.  

A különböző országokban található szervereket már 2016 óta használják, néha azért, hogy hozzáférjenek más forrásokhoz. Más szervereket, köztük az orosz nyelvű weblapokat tárolókat watering hole-nak használták. A watering hole támadások során a támadó olyan honlapot tör fel, amit a kiszemelt áldozat gyakran látogat. A kártékony kód aztán egy látogatás során észrevétlenül települhet a megcélzott gépre.

A Crouching Yeti egy olyan APT (Advanced Persistent Threat – Fejlett Tartós Fenyegetés) csoport, amelyet a Kaspersky Lab már 2010 óta figyel. Leginkább az ipari szektor elleni támadásokról ismert világszerte, elsősorban energetikai létesítményekre fókuszálva azzal a céllal, hogy értékes adatokat lopjanak. Az egyik módszer, amelyet a csoport gyakran használ, watering hole támadáson keresztül zajlik: a támadók megfertőzték a webhelyeket, amelyeken egy link átirányította a látogatókat egy rosszindulatú szerverre.

Kép: Pixabay

Kép: Pixabay

A Kaspersky Lab a közelmúltban több olyan szervert is észlelt, amelyet a csoport feltört és amelyek orosz, amerikai, török és európai uniós tagállamok különböző szervezeteihez tartoznak és nemcsak ipari vállalatokat érint. A kutatók szerint ezeket a szervereket 2016-ban és 2017-ben törték fel különböző okokból. Például nemcsak watering hole jellegű támadásokra használták, hanem arra, hogy közvetítőként más erőforrásokat is meg tudjanak támadni.

A fertőzött szerverek elemzése során a kutatók számos olyan weboldalt és szervert találtak Oroszországban, Amerikában, Európában, Ázsiában és Latin-Amerikában, amelyeket a bűnözők különböző eszközökkel vizsgáltak valószínűleg azért, hogy kialakíthassak egy bázist fegyverkészletüknek vagy watering hole támadásokhoz használhassák fel. Úgy tűnik, a csoport szintet lépett és érdeklődési körét kiterjesztette, ugyanis a szakértők azt tapasztalták, hogy a kiberbűnözők számos különböző típusú weboldalt elemeztek, köztük webshopok, online szolgáltatások, állami szervezetek, nonprofit szervezetek, és gyártók honlapjait.

Hackerevolúció: már nem a trójai a menő
Az egykor az egyik legveszélyesebbnek tartott kártevő, a mobil reklám trójai tavaly hanyatlásnak indult – derül ki a Kaspersky Lab legfrissebb „Mobil Kártevők Fejlődése” című jelentéséből. Továbbra is agresszívan fertőzik a felhasználókat, de a technológia, amit használnak, jelentős változásokon esett át az elmúlt egy év alatt. A trójai családok elkezdtek olyan fizetős sémákat használni, mint például a fizetett SMS- és WAP-számlázó szolgáltatás a nyereség megőrzése és növelése érdekében.

Továbbá a kiberbiztonsági szakemberek azt is detektálták, hogy a csoport olyan nyilvánosan elérhető kártékony eszközkészletet használt, amelyeket kifejezetten szerverek elemzésére, valamint információgyűjtésre terveztek. Ezenkívül egy módosított sshd fájlt találtak, amelyet előre telepített backdoor-ral láttak el. Ezt arra használták, hogy az eredeti fájlokat lecseréljék és egyúttal egy új „master” jelszóval tegyék hozzáférhetővé.

„A Rejtőzködő Jeti (Crouching Yeti) egy hírhedt orosz csoport, amely évek óta aktív és folyamatosan eredményesen támadja az ipari szervezeteket többek között a watering hole módszerrel. A kutatásaink eredményei azt mutatják, hogy a feltört szervereket nemcsak watering hole támadások indítására használják, hanem továbbiak vizsgálatára is. Mivel gyakran használnak nyílt forrású eszközöket, ezért az azonosításuk nehezebbé vált. A csoport tevékenységei, például az adatgyűjtés, a hitelesítési adatok ellopása, az erőforrások kihasználása, újabb támadásokat tesznek lehetővé. A fertőzött szerverek és a vizsgált erőforrások sokszínűsége azt sugallja, hogy a csoport esetleg harmadik fél kérésére dolgozik” – mondta Vladimir Dashcenko, a Kaspersky Lab ICS CERT részlegének Sérülékenység Kutatócsoportjának vezetője.

A Kaspersky Lab azt javasolja a szervezeteknek, hogy készítsenek olyan átfogó stratégiát a kibercsapdák, köztük az APT támadások ellen, amely képes azonosítani a célzott támadásokat, gyorsan reagál a kiberincidensekre. A stratégia tartalmazza a megfelelő biztonsági megoldás bevetését, kiegészítve egy IT szakértő csapattal és kibercsapda adat-állománnyal.

Biztonság: egy jelszó mind felett?
A biztonságos jelszóhasználat fontosságára rendszeresen figyelmeztetnek a szakértők és a különféle incidensek is, a tanácsok azonban sokszor ellentmondásosak. Pontosan hogyan gondoskodhatnak arról a vállalatok, hogy felhasználóik megfelelő, erős jelszavakat használjanak az érzékeny adatok és alkalmazások eléréshez, de abból se legyen probléma, hogy a túl bonyolult jelszavakat nehéz megjegyezni? A NetIQ szakértői az egypontos bejelentkezést javasolják.

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor