Il gruppo APT di lingua russa Crouching Yeti è nel mirino degli esperti di sicurezza dal 2010. È conosciuto in tutto il mondo per avere come obiettivo principale il settore industriale, con un focus primario sulle strutture energetiche e con lo scopo principale di rubare dati dai sistemi. Una delle tecniche più utilizzate dal gruppo è l’attacco “watering hole”: gli aggressori modificano i siti web inserendo un link che reindirizza i visitatori a un server compromesso.
Una recente ricerca ha scoperto diversi server attaccati dal gruppo, appartenenti ad organizzazioni con sede in Russia, Stati Uniti, Turchia e vari paesi europei, non solo relativi a realtà industriali. Secondo i ricercatori, sono stati colpiti tra il 2016 e il 2017 con scopi diversi. Pertanto questi attacchi, al di là di essere “watering hole”, in alcuni casi sono stati utilizzati come “ponte” per condurre azioni criminali verso altre risorse.
Nel processo di analisi dei server infetti, i ricercatori hanno identificato numerosi siti web e server utilizzati da organizzazioni in Russia, Stati Uniti, Europa, Asia e America Latina che gli aggressori avevano esaminato con vari tool per trovare un server che potesse essere utilizzato come punto d’accesso per ospitare i tool dei cybercriminali e poi sviluppare un attacco. Alcuni dei siti presi in esame potrebbero essersi rivelati interessanti per gli aggressori come possibili “watering hole”. Il range di siti web e server che ha catturato la loro attenzione è ampio; infatti i ricercatori di hanno scoperto che gli aggressori hanno esaminato numerosi siti web di tante tipologie, inclusi quelli di negozi e servizi online, istituzioni pubbliche, organizzazioni non governative, industrie manifatturiere, ecc.
È stato inoltre scoperto che il gruppo utilizzava tool dannosi open-source, progettati per analizzare i server e per cercare e raccogliere informazioni. In più è stato scoperto un file sshd modificato con una backdoor preinstallata. Tutto ciò è stato usato per sostituire il file originale in modo da essere autorizzato con una “master password”.
“Crouching Yeti è un famigerato gruppo di lingua russa attivo da molti anni che si rivolge con successo alle organizzazioni industriali sfruttando attacchi di vario genere, tra cui quelli “watering hole”. Gli ultimi risultati mostrano che il gruppo ha compromesso i server non solo per creare dei “watering hole”, ma anche per ulteriori osservazioni, utilizzando tool open-source che hanno reso molto più difficile la loro successiva identificazione. Le attività del gruppo, come la raccolta iniziale dei dati, il furto dei dati di autenticazione e la scansione delle risorse, vengono sfruttate per lanciare ulteriori attacchi. La diversità dei server infetti e delle risorse scansionate suggerisce che il gruppo possa operare nell’interesse di terze parti” ha commentato Vladimir Dashchenko, Head of Vulnerability Research Group di Kaspersky Lab ICS CERT.
I ricercatori consigliano alle organizzazioni di implementare un framework completo contro le minacce avanzate che comprenda soluzioni di sicurezza dedicate al rilevamento di attacchi mirati e all’incident response, insieme a servizi di expertise e intelligence sulle minacce.
