Identificada la infraestructura del grupo APT Crouching Yeti

  • Actualidad

Kaspersky Lab ha identificado la infraestructura utilizada por el grupo APT de habla rusa Crouching Yeti, también conocido como Energetic Bear, que es famoso por sus ataques a compañías industriales.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Crouching Yeti es un grupo de habla rusa de amenazas persistentes avanzadas (APT) al que Kaspersky Lab lleva siguiendo desde 2010. Es muy conocido por dirigirse contra industrias de todo el mundo, con un interés prioritario por las instalaciones de energía, con el objetivo de robar datos valiosos de los sistemas. Una de las técnicas que el grupo utiliza es la de los ataques “watering hole”, es decir, aquellos en los que los atacantes inyectan en una web un enlace que redirige a los visitantes a un servidor malicioso.

Kaspersky Lab descubrió recientemente una serie de servidores, comprometidos por el grupo, que pertenecen a diversas organizaciones con sede en Rusia, EE.UU., Turquía y varios países europeos, no limitándose exclusivamente a empresas industriales. Según sus analistas, estos servidores fueron comprometidos en 2016 y 2017 con objetivos diferentes. Así, además de los ataques “watering hole”, los servidores también se utilizaron en algunos casos como intermediarios para lanzar ataques contra otros recursos.

Durante el análisis de los servidores infectados, sus expertos identificaron numerosos servidores y webs utilizados por organizaciones de Rusia, EE.UU., Europa, Asia y Latinoamérica, que los atacantes habrían escaneado con varias herramientas, posiblemente para encontrar un servidor que pudiera usarse como host para alojar sus herramientas y, más adelante, lanzar un ataque. Algunas de las webs escaneadas podrían considerarse como candidatas para usarse en un  “watering hole”. La gama de webs y servidores que atrajeron a los intrusos es bastante amplia. Los analistas de Kaspersky Lab descubrieron que los ciberdelincuentes habían escaneado sitios web muy variados, desde tiendas y servicios online, organizaciones públicas, ONGs, fabricantes, etc…

Además, según Kaspersky, el grupo usó herramientas maliciosas de dominio público diseñadas para analizar servidores y para la búsqueda y recopilación de información. Además, durante su análisis encontraron un archivo sshd modificado con una puerta trasera. Este archivo se utilizó para sustituir el archivo original y la puerta podía abrirse mediante una “contraseña maestra”.

 “Las actividades de Crouching Yeti, como la recopilación inicial de datos, el robo de datos de autenticación y el escaneo de recursos, se utilizan para lanzar más ataques posteriores. La variedad y diversidad de servidores infectados y el tipo de recursos escaneados, sugiere que el grupo puede estar operando a cuenta de terceros”, ha explicado Vladimir Dashchenko, jefe del grupo de análisis de vulnerabilidades en Kaspersky Lab ICS CERT.

El especialista en seguridad, que ha publicado más información sobre este tema en esta web, recomienda a las organizaciones que implementen un marco integral contra amenazas avanzadas, que incluya soluciones de seguridad dedicadas para la detección de ataques y la respuesta a incidentes junto con servicios expertos e inteligencia de amenazas.