Kaspersky Lab

 

Communiqués de Presse

24.04.2018

Kaspersky Lab met au jour l’infrastructure de l’APT Crouching Yeti, connue pour avoir attaqué des entreprises industrielles

Kaspersky Lab a mis au jour l’infrastructure utilisée par le groupe russophone derrière la menace persistante avancée (APT) Crouching Yeti (également connue sous le nom d’Energetic Bear), qui comprend des serveurs compromis partout dans le monde. Selon le rapport, de nombreux serveurs dans différents pays ont été touchés en 2016, parfois dans le but d’accéder à d’autres ressources. D’autres, y compris ceux hébergeant des sites russes, ont été utilisés comme watering holes.

Crouching Yeti est un groupe APT russophone que Kaspersky Lab surveille depuis 2010. Il est surtout connu pour cibler des organisations du secteur industriel aux quatre coins du monde. Ses cibles prioritaires sont les infrastructures énergétiques et le groupe cherche avant tout à voler des informations précieuses sur les systèmes de ses victimes. L’une des techniques largement utilisées par Crouching Yeti est celle du watering hole : les attaquants placent sur des sites web légitimes un lien qui redirige les visiteurs vers un serveur malveillant.

Kaspersky Lab a récemment découvert un certain nombre de serveurs compromis par le groupe. Ils appartiennent à différentes organisations n’opérant pas toutes dans le secteur industriel et situées en Russie, aux Etats-Unis, en Turquie et en Europe. Selon les chercheurs, ces serveurs ont été touchées en 2016 et 2017, pour des raisons différentes. C’est pourquoi, au-delà des attaques par watering hole, ils ont parfois servi d’intermédiaires pour conduire des attaques contre d’autres ressources.

En analysant les serveurs infectés, les chercheurs ont découvert de nombreux sites web et serveurs utilisés par des organisations en Russie, aux Etats-Unis, en Europe, en Asie et en Amérique Latine ; ils avaient été scannés par les attaquants à l’aide d’outils variés, peut-être dans le but de trouver un serveur qui pourrait être utilisé comme point d’ancrage pour héberger les outils des criminels et ainsi développer une attaque. Certains des sites scannés ont pu être considérés comme de possibles candidats pour servir de sites-appâts dans le cadre d’attaques par waterhole. Les profils des sites et serveurs qui ont attiré l’attention des criminels sont très variés. Les chercheurs de Kaspersky Lab ont découvert que les attaquants avaient scanné des nombreux types de sites web différents, y compris des boutiques et des services en ligne, des organismes publics, des ONGs, des usines, etc.

D’autre part, les experts ont constaté que le groupe utilisait des outils malveillants disponibles publiquement et créés pour analyser des serveurs, chercher ou collecter des informations. En plus, un fichier sshd modifié avec une porte dérobée (backdoor) préinstallée a été découvert. Il a été utilisé pour remplacer le fichier d’origine et pouvait être autorisé avec un mot-de-passe maître.

“Crouching Yeti est un groupe russophone connu qui est actif depuis des années et continue de mener avec succès des attaques contre des organisations industrielles, via notamment des attaques de type watering hole. Selon nos conclusions, le groupe a compromis des serveurs pour mener ses attaques de watering hole, mais également pour scanner davantage d’éléments ; il utilisait activement des outils open source dont la détection a posteriori était beaucoup plus difficile,” explique Vladimir Dashchenko, à la tête du groupe ‘Vulnerability Research’ de Kaspersky Lab ICS CERT.

Les activités du groupe, dont la collecte initiale de données, le vol de données d’authentification et l’analyse des ressources, sont utilisées pour lancer d’autres attaques. La diversité des serveurs infectés et des ressources scannées suggère que le groupe pourrait agir pour le compte de tiers, » ajoute-t-il.

Kaspersky Lab recommande aux organisations de déployer un système complet pour lutter contre les menaces avancées, comprenant des solutions de sécurité dédiées à la détection d’attaques ciblées et la réponse aux incidents auxquelles s’ajouteraient des services de threat intelligence et le soutien d’experts. La plate-forme anti-attaques ciblées Kaspersky Threat Management and Defense détecte tôt les attaques en procédant à l’analyse des activités réseaux suspectes. En parallèle, Kaspersky EDR améliore la visibilité de la séurité des postes de travail et fournit des capacités d’enquête ainsi qu’une réponse automatisée aux menaces. Viennent s’ajouter les services experts et de threat intelligence, spécialisés dans la chasse aux menaces et la réponse aux incidents.

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Kaspersky Lab on the Web

Virus Analyst Blogs