Publié le 24/04/2018 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, 24 avril 2018 – Kaspersky Lab a découvert l'infrastructure utilisée par le célèbre groupe russe APT Crouching Yeti, également connu sous le nom d’Energetic Bear, qui comprend des serveurs compromis dans le monde entier. Selon cette étude, de nombreux serveurs dans différents pays ont été touchés depuis 2016, parfois pour avoir accès à d'autres ressources. D’autres, y compris ceux qui hébergent des sites web russes, ont été utilisés comme « points d’eau ».
Crouching Yeti est un groupe russe de menace persistante avancée (APT) que Kaspersky Lab traque depuis 2010. Il est surtout connu pour cibler les secteurs industriels du monde entier, en mettant l'accent sur les installations énergétiques. Son objectif principal ? Voler des données précieuses aux systèmes victimes. L'une des techniques largement utilisées par le groupe est l'attaque de points d'eau : les pirates injectaient des sites web avec un lien redirigeant les visiteurs vers un serveur malveillant.
Récemment, Kaspersky Lab a découvert un certain nombre de serveurs, compromis par le groupe, appartenant à différentes entreprises ou organisations basées en Russie, aux États-Unis, en Turquie et dans des pays européens, et non limités aux entreprises industrielles. Selon les chercheurs, ils ont été attaqués en 2016 et en 2017 à des fins différentes. Dès lors, outre le point d’eau, dans certains cas, ils ont servi d’intermédiaires pour attaquer d’autres ressources.
Dans le processus d'analyse des serveurs infectés, les chercheurs ont identifié de nombreux sites web et serveurs utilisés par des organisations ou des entreprises en Russie, aux États-Unis, en Europe, en Asie et en Amérique latine que les pirates avaient scannés avec divers outils, peut-être pour trouver un serveur susceptible d'être utilisé comme ancrage pour héberger les outils des pirates et pour développer par la suite une attaque. Certains des sites scannés peuvent avoir été d'intérêt pour les pirates en tant que possibles points d’eau. La gamme de sites web et de serveurs qui ont capté l'attention des intrus est vaste. Les chercheurs de Kaspersky Lab ont constaté que les pirates avaient scanné de nombreux sites web de différents types, y compris des boutiques et services en ligne, des organisations publiques, des ONG, des fabricants, etc.
De plus, les experts ont constaté que le groupe utilisait des outils malveillants accessibles au public, conçus pour analyser les serveurs, et pour rechercher et recueillir de l'information. En outre, un fichier sshd modifié avec une porte dérobée préinstallée a été découvert. Ce fichier a été utilisé pour remplacer le fichier d'origine et pouvait être autorisé avec un « mot de passe master ».
« Crouching Yeti est un groupe russe notoire qui est actif depuis de nombreuses années et qui cible toujours avec succès les entreprises industrielles, notamment par des attaques de point d'eau. Nos résultats montrent que le groupe a compromis des serveurs non seulement pour établir des points d’eau, mais aussi pour d'autres activités de scanning et d'analyse, et qu'il a activement utilisé des outils à code ouvert qui ont rendu beaucoup plus difficile l’identification de la menace par la suite, » a déclaré Vladimir Dashchenko, Head of Vulnerability Research Group du Kaspersky Lab ICS CERT.
« Les activités du groupe, telles que la collecte de données initiales, le vol de données d'authentification et l’examen détaillé des ressources, sont utilisées pour lancer d'autres attaques. La diversité des serveurs infectés et des ressources scannées suggère que le groupe peut agir dans l'intérêt de tiers », a-t-il ajouté.
Kaspersky Lab recommande que les entreprises ou organisations mettent en œuvre un cadre complet contre les menaces avancées comprenant des solutions de sécurité dédiées pour la détection d'attaques ciblées et la réponse aux incidents, ainsi que des services d'experts et des renseignements sur les menaces. Dans le cadre du Kaspersky Threat Management and Defense, notre plate-forme d'attaque anti-ciblée détecte une attaque à un stade précoce en analysant l'activité suspecte du réseau, tandis que Kaspersky EDR améliore la visibilité des points finaux, les capacités d'investigation et l'automatisation des réponses. Ceux-ci sont enrichis de renseignements mondiaux sur les menaces et des services d'experts de Kaspersky Lab, spécialisés dans la chasse aux menaces et l'intervention en cas d'incident.
Crouching Yeti est un groupe russe de menace persistante avancée (APT) que Kaspersky Lab traque depuis 2010. Il est surtout connu pour cibler les secteurs industriels du monde entier, en mettant l'accent sur les installations énergétiques. Son objectif principal ? Voler des données précieuses aux systèmes victimes. L'une des techniques largement utilisées par le groupe est l'attaque de points d'eau : les pirates injectaient des sites web avec un lien redirigeant les visiteurs vers un serveur malveillant.
Récemment, Kaspersky Lab a découvert un certain nombre de serveurs, compromis par le groupe, appartenant à différentes entreprises ou organisations basées en Russie, aux États-Unis, en Turquie et dans des pays européens, et non limités aux entreprises industrielles. Selon les chercheurs, ils ont été attaqués en 2016 et en 2017 à des fins différentes. Dès lors, outre le point d’eau, dans certains cas, ils ont servi d’intermédiaires pour attaquer d’autres ressources.
Dans le processus d'analyse des serveurs infectés, les chercheurs ont identifié de nombreux sites web et serveurs utilisés par des organisations ou des entreprises en Russie, aux États-Unis, en Europe, en Asie et en Amérique latine que les pirates avaient scannés avec divers outils, peut-être pour trouver un serveur susceptible d'être utilisé comme ancrage pour héberger les outils des pirates et pour développer par la suite une attaque. Certains des sites scannés peuvent avoir été d'intérêt pour les pirates en tant que possibles points d’eau. La gamme de sites web et de serveurs qui ont capté l'attention des intrus est vaste. Les chercheurs de Kaspersky Lab ont constaté que les pirates avaient scanné de nombreux sites web de différents types, y compris des boutiques et services en ligne, des organisations publiques, des ONG, des fabricants, etc.
De plus, les experts ont constaté que le groupe utilisait des outils malveillants accessibles au public, conçus pour analyser les serveurs, et pour rechercher et recueillir de l'information. En outre, un fichier sshd modifié avec une porte dérobée préinstallée a été découvert. Ce fichier a été utilisé pour remplacer le fichier d'origine et pouvait être autorisé avec un « mot de passe master ».
« Crouching Yeti est un groupe russe notoire qui est actif depuis de nombreuses années et qui cible toujours avec succès les entreprises industrielles, notamment par des attaques de point d'eau. Nos résultats montrent que le groupe a compromis des serveurs non seulement pour établir des points d’eau, mais aussi pour d'autres activités de scanning et d'analyse, et qu'il a activement utilisé des outils à code ouvert qui ont rendu beaucoup plus difficile l’identification de la menace par la suite, » a déclaré Vladimir Dashchenko, Head of Vulnerability Research Group du Kaspersky Lab ICS CERT.
« Les activités du groupe, telles que la collecte de données initiales, le vol de données d'authentification et l’examen détaillé des ressources, sont utilisées pour lancer d'autres attaques. La diversité des serveurs infectés et des ressources scannées suggère que le groupe peut agir dans l'intérêt de tiers », a-t-il ajouté.
Kaspersky Lab recommande que les entreprises ou organisations mettent en œuvre un cadre complet contre les menaces avancées comprenant des solutions de sécurité dédiées pour la détection d'attaques ciblées et la réponse aux incidents, ainsi que des services d'experts et des renseignements sur les menaces. Dans le cadre du Kaspersky Threat Management and Defense, notre plate-forme d'attaque anti-ciblée détecte une attaque à un stade précoce en analysant l'activité suspecte du réseau, tandis que Kaspersky EDR améliore la visibilité des points finaux, les capacités d'investigation et l'automatisation des réponses. Ceux-ci sont enrichis de renseignements mondiaux sur les menaces et des services d'experts de Kaspersky Lab, spécialisés dans la chasse aux menaces et l'intervention en cas d'incident.