Infrastructura utilizată de Crouching Yeti, celebrul grup APT cunoscut și sub numele de Energetic Bear, include servere compromise din întreaga lume. Numeroase servere din diferite țări au fost compromise încă din 2016, uneori pentru a acorda grupării acces la alte resurse. Alte servere, inclusiv cele care găzduiesc site-uri rusești, au fost utilizate drept „watering holes”.

Crouching Yeti este un grup care se ocupă cu amenințările avansate și persistente (APT), vorbitor de limba rusă, pe care Kaspersky Lab îl monitorizează încă din 2010. Grupul are în vizor sectoarele industriale din întreaga lume, concentrându-se pe sistemele energetice cu scopul de a fura date din sistemele compromise. Una dintre tehnicile utilizate pe scară largă de grup este atacul de tip „watering hole”: atacatorii injectează site-uri web cu un link care redirecționează vizitatorii către un server infectat.

Recent, Kaspersky Lab a descoperit o serie de servere compromise de către grup, care aparțineau mai multor organizații din Rusia, S.U.A., Turcia și țările europene, și care nu făceau parte numai din sectoarele industriale. Potrivit cercetătorilor, serverele au fost atacate în 2016 și 2017, cu diferite scopuri. Astfel, în afară de tehnica „watering hole”, în unele cazuri serverele au fost folosite drept intermediari pentru a lansa atacuri asupra altor resurse.

În cadrul procesului de analiză a serverelor infectate, cercetătorii au identificat numeroase site-uri și servere utilizate de organizații din Rusia, SUA, Europa, Asia și America Latină pe care atacatorii le-au scanat cu diverse instrumente, posibil pentru a găsi un server care ar fi putut fi utilizat ca punct de sprijin pentru găzduirea instrumentelor malware și pentru dezvoltarea ulterioară a unui atac. Este posibil ca unele dintre site-urile scanate să fi fost de interes pentru atacatori pentru a fi folosite drept „watering holes”. Gama de site-uri și servere care au atras atenția atacatorilor este extinsă. Cercetătorii au descoperit că atacatorii au scanat numeroase site-uri web de diferite tipuri, inclusiv magazine și servicii online, organizații publice, ONG-uri, companii de producție etc.

De asemenea, experții au descoperit că grupul a folosit instrumente malware disponibile public, concepute pentru analizarea serverelor și pentru căutarea și colectarea de informații. În plus, a fost descoperit un fișier modificat sshd cu un backdoor preinstalat. Acesta a fost folosit pentru a înlocui fișierul original și putea fi autorizat cu o “parolă master”.

Kaspersky Lab recomandă organizațiilor să implementeze un sistem de apărare complex împotriva amenințărilor avansate, care să cuprindă soluții dedicate de securitate pentru detectarea atacurilor direcționate și pentru la lua măsuri cât mai rapid în cazul unui incident, alături de servicii de specialitate și servicii de informații privind amenințările.