Novi zloćudni alat, proširena lista žrtava i druge osobenosti kampanje Pritajeni Jeti, takođe poznate kao Energični Medved

Kompanija Kaspersky Lab objavila je sveobuhvatnu detaljnu analizu malvera i komandno-kontrolnog servera infrastrukture povezane sa sajber-špijunskom kampanjom Globalnom timu za istraživanje i analitiku (Global Research and Analysis Team – GReAT) poznatom kao „Pritajeni Jeti“. Kampanja je počela davno, krajem 2010. godine, međutim i dan-danas je i te kako aktivna, napadajući nove žrtve svakog dana.

Nicolas Brulez, glavni istraživač sigurnosti u kompaniji Kaspersky Lab, izjavio je: „Energični Medved je ime koje je kompanija Crowd Strike prvobitno dala ovoj kampanji, u skladu sa svojom nomenklaturom.  Kompanija Crowd Strike veruje da je ova kampanja ruskog porekla. Kaspersky Lab još uvek istražuje sve postojeće tragove. Međutim, u ovom trenutku ne postoje jasni putokazi u bilo kom smeru. Takođe, naša analiza pokazuje da je globalni fokus napadača mnogo širi od samih proizvođača električne energije. Na osnovu ovih podataka, odlučili smo da damo novo ime ovom fenomenu: Jeti podseća na medveda, ali je misterioznog porekla“.

Ne toliko energetičan. Energični Medved/Pritajeni Jeti uključen je u nekoliko kampanja naprednih upornih pretnji (advanced persistent threats – APT). Prema istraživanju kompanije Kaspersky Lab, izgleda da su njegove žrtve iz šireg opsega preduzeća nego što se prvobitno mislilo. Najveći broj žrtava pripada sledećim sektorima: industrija/mašinstvo, manufaktura, farmacija, građevina, obrazovanje, informaciona tehnologija.

Ukupan broj poznatih žrtava je preko 2.800 širom sveta, od kojih su istraživači kompanije Kaspersky Lab bili u mogućnosti da identifikuju 101 organizaciju. Izgleda da ovaj spisak žrtava ukazuje na interesovanje Pritajenog Jetija za strateške mete, ali takođe i interesovanje za mnoge druge, na prvi pogled ne tako očigledne institucije. Eksperti kompanije Kaspersky Lab veruju da bi moglo biti kolateralnih žrtava, ali takođe bi bilo razumno redefinisati Pritajenog Jetija ne samo kao izuzetno ciljanu kampanju u veoma specifičnoj oblasti interesovanja, nego kao i kampanju sa interesima u različitim sektorima.

Napadnute organizacije nalaze se uglavnom u Sjedinjenim Državama, Španiji i Japanu, ali takođe i u Nemačkoj, Francuskoj, Turskoj, Irskoj, Poljskoj i Hrvatskoj. S obzirom na prirodu poznatih žrtava, za njih najveći udar predstavlja obelodanjivanje veoma osetljivih informacija kao što su kompanijine tajne zanata i veštine.

Industrijska špijunaža: zloćudni alati sa višestrukim dodatnim modulima. Pritajeni Jeti teško da je sofisticirana kampanja. Na primer, napadači ne koriste „zero-day“ exploitove, već samo one koji su široko dostupni na internetu. Ali to nije sprečilo da kampanja ostane neotkrivena godinama.

Istraživači kompanije Kaspersky Lab pronašli su dokaze za postojanje pet tipova zloćudnih alata koje napadači koriste kako bi „povukli“ vredne informacije sa kompromitovanih sistema. To su:

• Havex trojanac
• Sysmain trojanac
• ClientX backdoor
• Karagany backdoor i povezani kradljivci
• Alati lateralnog pokretanja i alati druge faze

Najrasprostranjeniji alat je Havex trojanac. Sveukupno, istraživači kompaniji Kaspersky Lab otkrili su 27 različitih verzija ovog zloćudnog programa i nekoliko dodatnih modula, uključujući alate namenjene prikupljanju podataka iz industrijskih kontrolnih sistema. Proizvodi Kaspersky Lab detektuju i uklanjaju sve varijante malvera koji je korišćen u ovoj kampanji.

Za komandu i kontrolu, Havex i ostali zloćudni program koje koristi Pritajeni Jeti, povezani su u veliku mrežu hakovanih vebsajtova. Ovi sajtovi sadrže informacije o žrtvama i izdaju komande zaraženom sistemu zajedno sa dodatnim malverskim modulima.

Spisak modula koji se mogu skinuti sa interneta uključuje alate za krađu šifara i kontakata iz programa Outlook, alate za snimanje ekrana, a takođe i module za pretragu i krađu određenih tipova fajlova: tekstualnih dokumenata, tabela, baza podataka, PDF fajlova, virtualnih diskova, fajlova zaštićenih šifrom, pgp sigurnosnih kodova itd.

U ovom momentu, poznato je da Havex trojanac ima dva specifična modula koji su usmereni na prikupljanje i prenos podataka napadaču, iz specifičnih okruženja IT industrije.  Modul OPC skenera je dizajniran da prikuplja izuzetno detaljne podatke o OPC serverima koji rade na lokalnoj mreži. Takvi serveri se najčešće  koriste u slučajevima kada se rukuje sa višestrukim industrijskim automatizovanim sistemima. Drugi modul je alat za skeniranje mreže dizajniran da skenira lokalnu mrežu, traži sve kompjutere koji su imaju veze sa OPC/SCADA softverom, i pokušava da se poveže sa takvim domaćinima ne bi li identifikovao da li je potencijalni OPC/SCADA sistem aktivan, a potom preneo sve prikupljene podatke komandno-kontrolnim serverima.

Misteriozno poreklo. Istraživači kompanije Kaspersky Lab posmatrali su nekoliko meta-funkcija koje bi mogle da ukažu na nacionalno poreklo kriminalaca koji stoje iza ove kampanje. Sproveli su analizu fajlova u realnom vremenu i zaključili da je većina uzoraka sastavljena u periodu od 06.00 do 16.00 časova po Griniču, što bi praktično moglo da se odnosi na bilo koju evropsku zemlju, uključujući i istočnu Evropu.

Eksperti su takođe analizirali i jezik napadača. Nizovi prisutni u analiziranom malveru su na engleskom jeziku (koje nisu pisali izvorni govornici). Za razliku od nekoliko prethodnih istraživača ove kampanje, specijalisti kompanije Kaspersky Lab nisu mogli sa sigurnošću da utvrde da su napadači ruskog porekla. Od gotovo 200 zloćudnih binarnih datoteka i srodnog operativnog sadržaja, nijedan nije imao ćirilični sadržaj (ili transliteraciju), suprotno dokumentovanim nalazima kompanije Kaspersky Lab u vezi sa kampanjama Red October, Miniduke, Cosmicduke, Snake i TeamSpy. Takođe, pronađeni su tragovi koji ukazuju na govornike francuskog i švedskog jezika.

Eksperti kompanije Kaspersky Lab nastavljaju da istražuju ovu kampanju istovremeno radeći sa kriminalističkim službama i partnerima iz struke. Kompletno istraživanje je dostupno na Securelist.com.