Endüstriyel şirketlere saldırılarıyla bilinen grup ortaya çıkarıldı !
Endüstriyel şirketlere saldırılarıyla bilinen grup ortaya çıkarıldı !
Kaspersky Lab, Rusça konuşan kişilerden oluşan ve Energetic Bear olarak da bilinen tanınmış APT grubu Crouching Yeti’nin kullandığı altyapıyı dünyanın dört bir yanında ele geçirilmiş sunucularıyla birlikte ortaya çıkardı. Yapılan araştırmada, başka kaynaklara erişmek amacıyla 2016’dan bu yana birçok ülkede sayısız sunucunun saldırıya uğradığı belirtildi. Rus web sitelerinin yer aldığı diğer sunucular ise tuzak olarak kullanıldı.
Crouching Yeti, Kaspersky Lab’in 2010’dan beri takip ettiği, Rusça konuşan kişilerden oluşan bir gelişmiş kalıcı tehdit (APT) grubu. Tüm dünyada başta enerji tesisleri olmak üzere endüstriyel sektörleri hedef almasıyla bilinen grup, hedef sistemlerden değerli verileri çalmayı amaçlıyor. Grubun sıkça kullandığı tekniklerden biri ise hedeflenen kurumlarda çalışanların sık ziyaret ettikleri web sitelerini ele geçirerek tuzak kurmak. Saldırganlar bu sitelere bağlantı ekleyerek ziyaretçileri kötü amaçlı sunucuya yönlendiriyor.
Kaspersky Lab yakın zaman önce, grup tarafından ele geçirilmiş çok sayıda sunucu keşfetti. Bu sunucuların Rusya, ABD, Türkiye ve Avrupa’daki farklı kurumlara ait olduğu belirlendi. Kurumlar arasında yalnızca endüstriyel şirketlerin olmadığı da tespit edildi. Araştırmacılara göre bu sunucular 2016 ve 2017 yıllarında farklı amaçlarla saldırıya uğradı. Sunucuların tuzak kurmanın yanı sıra başka kaynaklara saldırı düzenlemek için aracı olarak da kullanıldığı ortaya çıktı.
Saldırıya uğrayan sunucuların analizinde araştırmacılar Rusya, ABD, Avrupa, Asya ve Latin Amerika’da kurumların kullandığı çok sayıda web sitesi ve sunucunun, saldırganlar tarafından muhtemelen gerekli araçları saklayıp sonrasında saldırıyı gerçekleştirmek için kullanılabilecek bir sunucu bulmak için çeşitli araçlarla tarandığını belirledi. Taranan sitelerin bazıları, tuzak olarak kullanılmak için saldırganların dikkatini çekmiş olabilir. Saldırganların ilgilendiği web sitelerinin ve sunucuların kapsamı ise oldukça geniş. Kaspersky Lab araştırmacıları, saldırganların farklı türlerden çok sayıda web sitesini taradığını keşfetti. Bu web siteleri arasında internet mağazaları ve hizmetleri, kamu kurumları, STK’lar ve üretimle ilgili siteler yer alıyor.
Uzmanlar ayrıca grubun, sunucu analizi ve bilgi toplama amacıyla tasarlanan zararlı araçlar kullandığını da ortaya çıkardı. Ek olarak, önceden yüklenmiş arka kapıya sahip değiştirilmiş bir sshd dosyası da keşfedildi. Bu dosya, orijinal dosyanın yerini alıp bir ‘ana parola’ ile yetki alabiliyor.
“Crouching Yeti, Rusça konuşan kişilerden oluşan ve uzun yıllardır etkin olan tanınmış bir grup. Tuzak kurma ve diğer teknikleri kullanarak endüstriyel kurumları başarıyla hedef almaya devam ediyorlar. Elde ettiğimiz bulgulara göre grup, sunucuları yalnızca tuzak kurmak için değil ayrıca daha kapsamlı tarama yapmak için de ele geçirmiş. Bunu yaparken de kendilerini tanımamızı zorlaştıran açık kaynaklı araçları etkin bir biçimde kullanmışlar.” diyen Kaspersky Lab ICS CERT Açık Araştırma Grubu Lideri Vladimir Dashchenko, sözlerini şöyle sürdürdü:
“Grubun ön bilgi toplama, kimlik doğrulama verilerini çalma ve kaynak tarama gibi aktiviteleri daha sonra düzenlenecek saldırılar için kullanılmış. Ele geçirilen sunucuların ve taranan kaynakların çeşitliliği ise grubun üçüncü tarafların talepleri üzerine hareket etmiş olabileceğini gösteriyor.”
Kaspersky Lab kurumlara, gelişmiş tehditlere karşı hedefli saldırı tespiti, vakalara müdahale, uzman hizmetleri ve tehdit istihbaratı için özel güvenlik çözümlerinden oluşan kapsamlı bir sistem kurmalarını öneriyor. Kaspersky Threat Management and Defense çözümünün bir parçası olan hedefli saldırı önleyici platformumuz, şüpheli ağ aktivitelerini inceleyerek saldırıları ilk safhalarındayken tepsit ediyor. Kaspersky EDR ise uç noktaları daha detaylı izleyebilme, araştırma becerileri ve otomatik müdahale imkanı sunuyor. Tüm bunlar, global tehdit istihbaratı ve tehdit avı ile vakalara müdahale alanında uzman Kaspersky Lab hizmetleriyle destekleniyor.