כלים זדוניים לשליפת מידע

יום ד', 20 באוגוסט 2014
 
מעבדת קספרסקי חושפת ניתוח עומק של הקוד הזדוני ותשתית שרתי הפיקוד והשליטה, הקשורים בקמפיין ריגול הסייבר המכונה "יטי המשתופף" (Crouching Yeti). הקמפיין החל בסוף שנת 2010, וגם כיום הוא עדיין פעיל לחלוטין – ומכוון כלפי קורבנות חדשים על בסיס יומי. 
הדוב האנרגטי / יטי המשתופף, מעורב במספר קמפיינים של התקפות ממוקדות (APT's). על פי המחקר של מעבדת קספרסקי, נראה כי הקורבנות מגיעים מטווח רחב יותר של ארגונים מאשר סברו בעבר. עיקר הקורבנות משתייכים בעיקר למגזרים הבאים: תעשייה / מיכון, ייצור, פארמה, בינוי, חינוך וטכנולוגיות מידע.
המספר הכולל של קורבנות מוכרים בעולם עובר כעת את ה- 2800, מתוכם חוקרי מעבדת קספרסקי הצליחו לזהות 101 ארגונים. נראה כי רשימה זו של קורבנות מצביעה על העניין של יטי במטרות אסטרטגיות, אך היא גם מראה על עניין בקבוצה של גופים אחרים שאינם ברורים מאליהם. מומחי מעבדת קספרסקי מאמינים כי ייתכן שאלה נפגעים משניים, מה שמחייב להגדיר מחדש את יטי כקמפיין ריגול נרחב עם עניין במגזרים שונים, ולא כקמפיין ממוקד. 
הארגונים המותקפים ממוקמים בעיקר בארה"ב, ספרד, יפן, גרמניה, צרפת, איטליה, תורכיה, אירלנד, פולין וסין. בהינתן אופיים של הקורבנות שזוהו, הפגיעה העיקרית שלהם היא דליפה של מידע רגיש מאוד כגון סודות מסחריים ונכסים אינטלקטואליים. 
כלים זדוניים עם מגוון מודולים נוספים. יטי המשתופף אינו נתפס כקמפיין מתוחכם. לדוגמא, התוקפים לא השתמשו בפרצות יום אפס, אלא רק בפרצות הידועות באינטרנט. אך הדבר לא מנע מהקמפיין להשתופף מתחת לראדר זמן רב כל כך. 
חוקרי מעבדת קספרסקי מצאו עדויות לקיומם של 5 סוגי כלים זדוניים ששימשו את התוקפים כדי לשלוף מידע יקר ערך מהמערכות שנפגעו:
Havex trojan
Sysmain trojan 
The ClientX backdoor
Karagany backdoor  וגונבים הקשורים אליו
תנועה רוחבית וכלים מדרג שני
 
הכלי הנפוץ ביותר בשימוש היה הטרויאני Havex. באופן כללי, חוקרי מעבדת קספרסקי חשפו 27 גרסאות שונות של תוכנות קוד זדוני ומספר מודולים נוספים, כולל כלים המיועדים לאיסוף נתונים ממערכות בקרה תעשייתיות.
לצורך שליטה ובקרה, Havex וכלים זדוניים אחרים ששימשו במסגרת "יטי" התחברו לרשת גדולה של אתרים פרוצים. אתרים אלה אירחו את המידע מהקורבנות, ושלחו פקודות למערכות הפגועות יחד עם מודולים נוספים של הקוד הזדוני. 
רשימת המודולים הניתנים להורדה עבור Havex כוללת כלים לגניבת סיסמאות ואנשי קשר באאוטלוק, לכידת מסך, וגם מודולים לחיפוש וגניבת קבצים מסוגים מסוימים: קבצי טקסט, גליונות נתונים, בסיסי נתונים, PDF, כוננים וירטואליים, קבצים מוגנים בסיסמא, מפתחות  PGP ועוד.
ריגול תעשייתי
כרגע ידוע כי לטרויאני Havex יש שני מודולים מיוחדים מאוד שנועדו לאסוף ולשדר נתונים מתוך סביבות IT תעשייתיות מסוימות. הראשון הוא מודול לסריקת OPC. מודול זה תוכנן כדי לאסוף מידע מפורט ביותר אודות שרתי OPC הפועלים ברשת המקומית. שרתים אלה משמשים בדרך כלל עבור מערכות אוטומציה תעשייתיות. 
סורק ה- OPC מלווה בכלי סריקת רשת. מודול זה נועד לסרוק רשתות מקומיות, לחפש אחר כל המחשבים הרשומים בפורטים הקשורים לתוכנת OPC/SCADA, לנסות להתחבר למקורות אלה במטרה לזהות אילו מערכות OPC/SCADA פועלות, ולשדר את המידע שנאסף אל שרתי הפיקוד והשליטה.