קמפיין ריגול מתמשך שפגע ב-2800 מטרות

יום ב', 4 באוגוסט 2014

Crouching Yeti

 

מעבדת קספרסקי חושפת  ניתוח עומק של הקוד הזדוני ותשתית שרתי הפיקוד והשליטה, הקשורים בקמפיין ריגול הסייבר המכונה "יטי המשתופף" (Crouching Yeti). הקמפיין החל בסוף שנת 2010, וגם כיום הוא עדיין פעיל לחלוטין – ומכוון כלפי קורבנות חדשים על בסיס יומי.

לא כל כך אנרגטי. הדוב האנרגטי / יטי המשתופף, מעורב במספר קמפיינים של התקפות ממוקדות (APT's). על פי המחקר של מעבדת קספרסקי, נראה כי הקורבנות מגיעים מטווח רחב יותר של ארגונים מאשר סברו בעבר. עיקר הקורבנות משתייכים בעיקר למגזרים הבאים: תעשייה / מיכון, ייצור, פארמה, בינוי, חינוך וטכנולוגיות מידע.

המספר הכולל של קורבנות מוכרים בעולם עובר כעת את ה- 2800, מתוכם חוקרי מעבדת קספרסקי הצליחו לזהות 101 ארגונים. נראה כי רשימה זו של קורבנות מצביעה על העניין של יטי במטרות אסטרטגיות, אך היא גם מראה על עניין בקבוצה של גופים אחרים שאינם ברורים מאליהם. מומחי מעבדת קספרסקי מאמינים כי ייתכן שאלה נפגעים משניים, מה שמחייב להגדיר מחדש את יטי כקמפיין ריגול נרחב עם עניין במגזרים שונים, ולא כקמפיין ממוקד.

הארגונים המותקפים ממוקמים בעיקר בארה"ב, ספרד, יפן, גרמניה, צרפת, איטליה, תורכיה, אירלנד, פולין וסין. בהינתן אופיים של הקורבנות שזוהו, הפגיעה העיקרית שלהם היא דליפה של מידע רגיש מאוד כגון סודות מסחריים ונכסים אינטלקטואליים.

כלים זדוניים עם מגוון מודולים נוספים. יטי המשתופף אינו נתפס כקמפיין מתוחכם. לדוגמא, התוקפים לא השתמשו בפרצות יום אפס, אלא רק בפרצות הידועות באינטרנט. אך הדבר לא מנע מהקמפיין להשתופף מתחת לראדר זמן רב כל כך.

חוקרי מעבדת קספרסקי מצאו עדויות לקיומם של 5 סוגי כלים זדוניים ששימשו את התוקפים כדי לשלוף מידע יקר ערך מהמערכות שנפגעו:

·         Havex trojan

·         Sysmain trojan

·         The ClientX backdoor

·         Karagany backdoor  וגונבים הקשורים אליו

·         תנועה רוחבית וכלים מדרג שני

 

הכלי הנפוץ ביותר בשימוש היה הטרויאני Havex. באופן כללי, חוקרי מעבדת קספרסקי חשפו 27 גרסאות שונות של תוכנות קוד זדוני ומספר מודולים נוספים, כולל כלים המיועדים לאיסוף נתונים ממערכות בקרה תעשייתיות.

לצורך שליטה ובקרה, Havex  

כלים זדוניים אחרים ששימשו במסגרת "יטי" התחברו לרשת גדולה של אתרים פרוצים. אתרים אלה אירחו את המידע מהקורבנות, ושלחו פקודות למערכות הפגועות יחד עם מודולים נוספים של הקוד הזדוני.

רשימת המודולים הניתנים להורדה עבור Havexכוללת כלים לגניבת סיסמאות ואנשי קשר באאוטלוק, לכידת מסך, וגם מודולים לחיפוש וגניבת קבצים מסוגים מסוימים: קבצי טקסט, גליונות נתונים, בסיסי נתונים, PDF, כוננים וירטואליים, קבצים מוגנים בסיסמא, מפתחות  PGPועוד.

ריגול תעשייתי. כרגע ידוע כי לטרויאני Havexיש שני מודולים מיוחדים מאוד שנועדו לאסוף ולשדר נתונים מתוך סביבות ITתעשייתיות מסוימות. הראשון הוא מודול לסריקת OPC. מודול זה תוכנן כדי לאסוף מידע מפורט ביותר אודות שרתי OPCהפועלים ברשת המקומית. שרתים אלה משמשים בדרך כלל עבור מערכות אוטומציה תעשייתיות.

סורק ה- OPCמלווה בכלי סריקת רשת. מודול זה נועד לסרוק רשתות מקומיות, לחפש אחר כל המחשבים הרשומים בפורטים הקשורים לתוכנת OPC/SCADA, לנסות להתחבר למקורות אלה במטרה לזהות אילו מערכות OPC/SCADAפועלות, ולשדר את המידע שנאסף אל שרתי הפיקוד והשליטה.

מקור מסתורי. חוקרי מעבדת קספרסקי זיהו מספר מאפיינים אשר יכולים להצביע על המקור הלאומי של העבריינים שמאחורי הקמפיין. בעיקר, באמצעות ניתוח חותמות זמן של 154 קבצים הם הסיקו כי רוב הדוגמיות נוצרו בין 6:00 ל- 16:00 על פי השעון העולמי, מה שיכול להתאים לכל מדינה באירופה ובמזרח אירופה.

המומחים גם ביצעו ניתוח של שפת התוקפים. שורות הקוד בקוד הזדוני שנותח נכתבו באנגלית (ככל הנראה לא שפת האם של התוקפים). עם זאת, מומחי  מעבדת קספרסקי לא יכלו לקבוע בוודאות כי מקור הקמפיין הוא רוסי. בכמעט 200 מהדוגמיות הזדוניות והתעתיקים ובתוכן התפעולי הקשור בהם, לא נמצא תוכן קירילי. זאת, בשונה מממצאים של מעבדת קספרסקי במחקרי אוקטובר האדום, מינידיוק, קוסמיק דיוק, סנייק ו- TeamSpy. בנוסף, נמצאו רמזים המצביעים על דוברי צרפתית ושבדית.

לדברי ניקולאס ברולז, חוקר אבטחה ראשי במעבדת קספרסקי: " מעבדת קספרסקי עדיין חוקרת את כל הכיוונים האפשריים. כרגע אין סימנים ברורים לשום כיוון. הניתוח שלנו מראה כי המיקוד הבינלאומי של התוקפים הוא רחב מאוד".