Yeti garázdálkodik világszerte

yetiKaspersky Lab kiadta a vállalat Global Research and Analysis Team (GReAT) részlege által Crouching Yeti-nek nevezett kiberkémkedési kampány malware-éről, valamint parancs és vezérlő (C&C) szerveréről készült elemzését. A kutatók szerint a kampány 2010 végén indult, s a mai napig aktív, és minden nap újabb áldozatokat vesz célba. „A kampány először az Energetic Bear nevet kapta a CrowdStrike biztonsági cégtől, mivel úgy vélték, hogy a fenyegetés orosz eredetű. A Kaspersky még mindig vizsgálja az összes létező kapcsolatot, jelenleg azonban egyetlen irányba sem mutatnak határozott szálak. Elemzésünk azt is kiderítette, hogy a támadók fókusza sokkal szélesebb, és nem csupán az energiaszolgáltatókra korlátozódik. Ezen információk birtokában döntöttünk úgy, hogy új nevet adunk a jelenségnek” – mondta Nicolas Brulez, a Kaspersky vezető biztonsági kutatója.

Az Energetic Bear/Crouching Yeti számos, úgynevezett fejlett állandó fenyegetés (APT) kampányban vett részt. A Kaspersky kutatása szerint áldozatai szélesebb körből kerülnek ki, mint azt korábban hitték. Az azonosított áldozatok legnagyobb számban a következő szektorokból kerültek ki: gépipar, gyártás, gyógyszeripar, építőipar, oktatás, információtechnológia. A megtámadott szervezetek többsége az Egyesült Államokban, Spanyolországban és Japánban működik, de szép számmal található belőlük Németországban, Franciaországban, Olaszországban, Törökországban, Írországban, Lengyelországban és Kínában. Az ismert áldozatok jellegének ismeretében a támadások legkellemetlenebb eredménye a bizalmas adatok, például üzleti titkok és know-how információk illetéktelen kezekbe kerülése lehetett.

Rejtélyes eredet
A Kaspersky Lab kutatói számos meta funkciót figyeltek meg, amelyekből kideríthető lehet a kampány mögött álló bűnözők nemzeti hovatartozása. Időbélyeg elemzést végeztek 154 fájlon, és megállapították, hogy a legtöbb minta greenwichi idő szerint 6:00 és 16:00 között készült, vagyis bármelyik európai, illetve kelet-európai ország szóba jöhet. A szakértők ugyancsak elemezték a szerzők nyelvét. A vizsgált malware-ben található karaktersorozatok angol nyelvűek, amelyeket nem anyanyelvi személyek írtak. A közel 200 rosszindulatú bináris fájlban és kapcsolódó anyagban egyáltalán nem lelhetők fel cirill betűs tartalmak (vagy átiratok), nem úgy, mint a Red October, a Miniduke, a Cosmicduke, a Snake és a TeamSpy esetében. Ugyanakkor találtak francia és svéd anyanyelvű személyekre utaló nyelvi nyomokat.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.