Llegamos a ustedes gracias a:



Alertas de Seguridad

Kaspersky Lab revela detalles sobre Crouching Yeti

Una campaña activa de espionaje

[08/08/2014] Kaspersky Lab dio a conocer un análisis a fondo del malware e infraestructura de los servidores de comando y control (C&C) relacionado con la campaña de ciberespionaje conocida por su Equipo Global de Análisis e Investigación (GReAT, por sus siglas en inglés) como Crouching Yeti (Yeti Agachado). Los blancos de esta campaña incluyen victimas de varios sectores estratégicos.

Crouching Yeti, también conocida como Energetic Bear, está involucrada en muchas campañas de amenazas persistentes avanzadas (APT) activas desde por lo menos los últimos meses del 2010. Según la investigación de Kaspersky Lab, sus víctimas parecen estar en una gama más amplia de empresas de lo que anteriormente se pensaba. El número más grande de víctimas identificadas, pertenecen a los sectores de Industrial/maquinaria, Fabricación, Farmacéutica, Construcción, Educación y Tecnología de la información.

El número total de víctimas conocidas supera las 2.800 en todo el mundo, de las cuales los investigadores de Kaspersky Lab fueron capaces de identificar a 101 organizaciones. Las organizaciones atacadas se encuentran principalmente en los Estados Unidos, España, Japón, Alemania, Francia, Italia, Turquía, Irlanda, Polonia y China. En América Latina, organizaciones en Argentina, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Paraguay, Perú, Puerto Rico, República Dominicana y Venezuela se encuentran dentro de la lista de víctimas. Esta lista de víctimas parece indicar que el interés de Crouching Yeti se centra en blancos estratégicos, pero también muestra interés de grupo en muchas otras instituciones no tan obvias.

Los expertos de Kaspersky Lab creen que podría tratarse de víctimas colaterales, pero también podría ser razonable redefinir a Crouching Yeti no solo como una campaña altamente dirigida a un área de interés muy específica, sino también como una amplia campaña de vigilancia con intereses en diferentes sectores.

Aunque Crouching Yeti ha estado realizando campañas masivas de ciberespionaje, de acuerdo a Kaspersky Labs no hay evidencia de que utiliza exploits o malware sofisticados. Por ejemplo, los atacantes no utilizan exploits día-cero, solo exploits que están ampliamente disponibles en Internet. Los investigadores de Kaspersky Lab han encontrado pruebas de la existencia de cinco tipos de herramientas maliciosas utilizadas por los atacantes para retirar información valiosa de los sistemas comprometidos: los troyanos Havex y Sysmain, los backdoor ClientX, Karagany y ladrones relacionados, así como "Lateral Movement" y herramientas de segunda etapa.

La herramienta más ampliamente utilizada es el Troyano Havex. Los investigadores de Kaspersky Lab descubrieron un total de 27 versiones diferentes de este programa malicioso y muchos módulos adicionales, incluyendo herramientas destinadas a recopilar datos de sistemas de control industrial.

Para comando y control, Havex y las demás herramientas maliciosas utilizadas por Crouching Yeti se conectan a una amplia red de sitios web hackeados. Estos sitios albergan información de la víctima y sirven comandos a los sistemas infectados junto con módulos adicionales de malware.

La lista de módulos descargables incluye herramientas para el robo de contraseñas y contactos de Outlook, captura de pantalla, y también módulos de búsqueda y robo de ciertos tipos de archivos: documentos de texto, hojas de cálculo, bases de datos, archivos PDF, unidades virtuales, archivos protegidos por contraseña, claves de seguridad pgp, etc.

Origen misterioso
Los investigadores de Kaspersky Lab observaron muchas metas características que podrían apuntar hacia el origen nacional de los delincuentes detrás de esta campaña. En particular, realizaron el análisis del sello de tiempo del archivo de 154 archivos y llegaron a la conclusión que la mayoría de las muestras fueron recopiladas entre las 06:00 y las 16:00 UTC, que podrían coincidir con prácticamente cualquier país de Europa, así como de Europa Oriental.

Los expertos también analizaron la lengua del actor. Las cadenas presentes en el malware analizado están en inglés (escrito por no nativos). A diferencia de investigadores anteriores de esta campaña en particular, los especialistas de Kaspersky Lab no pudieron llegar a una conclusión definitiva con respecto a que este actor fuera de origen ruso. En casi 200 archivos binarios maliciosos y en el contenido operativo relacionado hay una falta total de contenido cirílico (o transliteración), al contrario de los hallazgos documentados de Kaspersky Lab de las investigaciones de Red October, Miniduke, Cosmicduke, Snake y TeamSpy. Además, se encontraron pistas que señalan a hablantes de idioma francés y sueco.
CIO, Perú