Kaspersky Lab revela detalles sobre Crouching Yeti

Gracias por Compartir

Kaspersky Lab dio a conocer un análisis a fondo del malware e infraestructura de los servidores de comando y control (C&C) relacionado con la campaña de ciberespionaje conocida por nuestro Equipo Global de Análisis e Investigación (GReAT, por sus siglas en inglés) como Crouching Yeti (Yeti Agachado). Los blancos de esta campaña incluyen victimas de varios sectores estratégicos.

Crouching Yeti, también conocida como Energetic Bear, está involucrada en muchas campañas de amenazas persistentes avanzadas (APT) activas desde por lo menos los últimos meses del 2010. Según la investigación de Kaspersky Lab, sus víctimas parecen estar en una gama más amplia de empresas de lo que anteriormente se pensaba. El número más grande de víctimas identificadas pertenecen a los siguientes sectores:
• Industrial/maquinaria
• Fabricación
• Farmacéutica
• Construcción
• Educación
• Tecnología de la información

El número total de víctimas conocidas supera las 2,800 en todo el mundo, de las cuales los investigadores de Kaspersky Lab fueron capaces de identificar a 101 organizaciones. Las organizaciones atacadas se encuentran principalmente en los Estados Unidos, España, Japón, Alemania, Francia, Italia, Turquía, Irlanda, Polonia y China. En América Latina, organizaciones en Argentina, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Paraguay, Perú, Puerto Rico, República Dominicana y Venezuela se encuentran dentro de la lista de victimas. Esta lista de víctimas parece indicar que el interés de Crouching Yeti se centra en blancos estratégicos, pero también muestra interés de grupo en muchas otras instituciones no tan obvias. Los expertos de Kaspersky Lab creen que podría tratarse de víctimas colaterales, pero también podría ser razonable redefinir a Crouching Yeti no sólo como una campaña altamente dirigida a una área de interés muy específica, sino también como una amplia campaña de vigilancia con intereses en diferentes sectores.

Aunque Crouching Yeti ha estado realizando campañas masivas de ciberespionaje, no hay evidencia de que utiliza exploits o malware sofisticados. Por ejemplo, los atacantes no utilizan exploits día-cero, sólo exploits que están ampliamente disponibles en Internet. Los investigadores de Kaspersky Lab han encontrado pruebas de la existencia de cinco tipos de herramientas maliciosas utilizadas por los atacantes para retirar información valiosa de los sistemas comprometidos:
El troyano Havex
El troyano Sysmain
El backdoor ClientX
El backdoor Karagany y ladrones relacionados
“Lateral Movement” y herramientas de segunda etapa

La herramienta más ampliamente utilizada es el Troyano Havex. Los investigadores de Kaspersky Lab descubrieron un total de 27 versiones diferentes de este programa malicioso y muchos módulos adicionales, incluyendo herramientas destinadas a recopilar datos de sistemas de control industrial.

Origen misterioso. Los investigadores de Kaspersky Lab observaron muchas meta características que podrían apuntar hacia el origen nacional de los delincuentes detrás de esta campaña. En particular, realizaron el análisis del sello de tiempo del archivo de 154 archivos y llegaron a la conclusión que la mayoría de las muestras fueron recopiladas entre las 06:00 y las 16:00 UTC, que podrían coincidir con prácticamente cualquier país de Europa, así como de Europa Oriental.

Los expertos de Kaspersky Lab continúan investigando esta campaña al tiempo que trabajan con cuerpos policiales y con socios de la industria. El texto completo de la investigación está disponible en Securelist.com

Fuente y Foto: Kaspersky

Gracias por Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *