„Crouching Yeti“ ist in verschiedene APT-Kampagnen (Advanced Persistent Threat [2]) verwickelt, also systematisch und längerfristig angelegten Kampagnen, die sich gegen ein breites Spektrum an Unternehmen und Organisationen verschiedener Bereiche richten. Die meisten Geschädigten kommen aus den Branchen
Automation,
Produktion,
Pharma,
Baugewerbe,
Bildung
sowie Informationstechnologie.
Zu finden sind die meisten bisher bekannten Opfer in den USA, Spanien, Japan, Deutschland, Frankreich, Italien, Türkei, Irland, Polen, China sowie in der Schweiz.
Jetzt konnten die Experten von Kaspersky Lab fünf Typen von Schadprogrammen [3] identifizieren, mit denen die Angreifer an wertvolle Informationen bei ihren Opfern gelangen konnten. Es handelt sich dabei um
den Trojaner Havex,
den Trojaner Sysmain,
das Backdoor-Programm ClientX,
das Backdoor-Programm Karagany zusammen mit weiteren Schadprogrammen
und sogenannte Lateral Movement und Second Stage Tools.
Der Trojaner Havex ist am weitesten verbreitet. Die Experten von Kaspersky Lab fanden davon allein 27 unterschiedliche Varianten und weitere zusätzliche Module, wie zum Beispiel Werkzeuge zum Sammeln von Informationen über von der Industrie genutzte Kontrollsysteme.
Für ihre Steuerung sind die Schadprogramme von „Crouching Yeti“ mit einem breiten Netzwerk aus gehackten Webseiten verbunden. Diese sammeln Informationen über die Geschädigten und schicken entsprechende Befehle oder weitere Schadmodule an die bereits infizierten Systeme.
Dazu gehören Module für den Diebstahl von Passwörtern und Outlook-Kontaktdaten, Module zur Anfertigung von Screenshots und solche, mit denen nach bestimmten Dateitypen gesucht werden kann, um diese zu entwenden. Textdateien, Kalkulationstabellen, Datenbanken und PDF-Dokumente sind genauso betroffen wie virtuelle Laufwerke, Passwort-geschützte Dateien und PGP-Schlüssel.
Nach derzeitigem Kenntnisstand verfügt Harvex auch über zwei sehr spezialisierte Module, mit deren Hilfe die Angreifer an die Daten bestimmter industrieller IT-Umgebungen gelangen können. Eines davon ist das OPC-Scanner-Modul, mit dem sehr detaillierte Informationen über alle OPC-Server im Unternehmensnetzwerk gewonnen werden. Diese Server werden in der Regel für den Einsatz mehrerer parallel laufender industrieller Automatisierungssysteme benötigt.
Das zweite Modul sucht nach allen Rechnern im Unternehmensnetzwerk, deren Ports mit OPC/SCADA-Software verbunden sind. Das entsprechende OPC/SCADA-System wird daraufhin identifiziert und alle gesammelten Daten an die C&C-Server (Command-and-Control Server)
übertragen.
Eine eindeutige Identifizierung der Hintermänner ist den Kaspersky Experten noch nicht gelungen. Vieles deutet darauf hin, dass die Täter irgendwo in West- oder Osteuropa sitzen und französisch- und schwedisch-sprachige Täter sind.
Kaspersky Lab führt weitere Untersuchungen von „Crouching Yeti“ fort und arbeitet parallel mit den Strafverfolgungsbehörden sowie Partnern aus der Industrie zusammen. Eine detaillierte Beschreibung der Kampagne inklusive PDF-Report zum Download ist unter http://securelist.com/blog/research/65240/energetic-bear-more-like-a-crouching-yeti veröffentlicht.