El ataque digital persistente contra personalidades de distintas industrias, conocido como Energetic Bear o Crouching Yeti, ha estado vigente desde finales del 2010 e incluye víctimas en Venezuela, Ecuador, Colombia y Perú
Kaspersky Labs alerta que el ataque digital persistente contra personalidades de distintas industrias, conocido como Energetic Bear o Crouching Yeti, sigue vigente desde finales del 2010, y ha atacado personalidades ligadas a las industrias de maquinaria, manufactura, farmacia, construcción, educación y tecnología, y ha cobrado más de 2.800 víctimas hasta ahora. El ataque está concebido para afectar algunos países en particular. En América Latina, sectores estratégicos y organizaciones de alto perfil en Argentina, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Paraguay, Perú, Puerto Rico, República Dominicana y Venezuela, se encuentran dentro de la lista de victimas.
Esta lista de víctimas parece indicar que el interés de Crouching Yeti se centra en blancos estratégicos, pero también muestra interés de grupo en muchas otras instituciones no tan obvias. Los expertos de Kaspersky Lab creen que podría tratarse de víctimas colaterales, pero también podría ser razonable redefinir a Crouching Yeti no sólo como una campaña altamente dirigida a una área de interés muy específica, sino también como una amplia campaña de vigilancia con intereses en diferentes sectores.
Aunque Crouching Yeti ha estado realizando campañas masivas de ciberespionaje, no hay evidencia de que utiliza exploits o malware sofisticados. Por ejemplo, los atacantes no utilizan exploits día-cero, sólo exploits que están ampliamente disponibles en Internet. Los investigadores de Kaspersky Lab han encontrado pruebas de la existencia de cinco tipos de herramientas maliciosas utilizadas por los atacantes para retirar información valiosa de los sistemas comprometidos:
· El troyano Havex
· El troyano Sysmain
· El backdoor ClientX
· El backdoor Karagany y ladrones relacionados
· «Lateral Movement» y herramientas de segunda etapa
La herramienta más ampliamente utilizada es el Troyano Havex. Los investigadores de Kaspersky Lab descubrieron un total de 27 versiones diferentes de este programa malicioso y muchos módulos adicionales, incluyendo herramientas destinadas a recopilar datos de sistemas de control industrial.
Para comando y control, Havex y las demás herramientas maliciosas utilizadas por Crouching Yeti se conectan a una amplia red de sitios web hackeados. Estos sitios albergan información de la víctima y sirven comandos a los sistemas infectados junto con módulos adicionales de malware.
La lista de módulos descargables incluye herramientas para el robo de contraseñas y contactos de Outlook, captura de pantalla, y también módulos de búsqueda y robo de ciertos tipos de archivos: documentos de texto, hojas de cálculo, bases de datos, archivos PDF, unidades virtuales, archivos protegidos por contraseña, claves de seguridad pgp, etc.
Espionaje industrial
En la actualidad, el Troyano Havex es conocido por tener dos módulos muy especiales destinados a recopilar y transmitir al atacante los datos de entornos de TI industriales específicos. El primero es el módulo de análisis OPC. Este módulo está diseñado para recopilar los datos extremadamente detallados de los servidores OPC que corren en la red local. Dichos servidores se suelen utilizar donde múltiples sistemas de automatización industrial están operando.
El módulo de análisis OPC viene acompañado por una herramienta de escaneo de redes. Este módulo está diseñado para analizar la red local, buscar todas las computadoras conectadas a los puertos relacionados con el software OPC/SCADA, e intentar conectarse a dichos hosts para identificar qué sistema OPC/SCADA potencial está corriendo, y transmitir toda la información recopilada a los servidores de comando y control.
Nicolas Brulez, Investigador Principal de Seguridad en Kaspersky Lab, comentó: «El Energetic Bear fue el nombre que Crowd Strike inicialmente le dio a esta campaña de acuerdo con su nomenclatura. «The Bear» (El Oso) es por atribución, y Crowd Strike cree que esta campaña tiene un origen ruso. Kaspersky Lab se encuentra investigando todas las pistas; sin embargo, por el momento no hay nada definitivo en ninguna dirección. También el análisis demuestra que el enfoque global de los atacantes es mucho más amplio que sólo organizaciones productoras de energía. Con base en estos datos, le dieron un nuevo nombre al fenómeno: un Yeti hace recordar a un oso, pero con un origen misterioso».
Los expertos de Kaspersky Lab continúan investigando esta campaña al tiempo que trabajan con cuerpos policiales y con socios de la industria.