返回新闻列表

全球超过2800家企业和组织成为Crouching Yeti网络间谍攻击行动的受害者

        近日,卡巴斯基实验室发表了针对间谍攻击行动所使用恶意软件和命令控制(C&C)服务器基础设施的深度报告。这次攻击行动被卡巴斯基实验室全球研究和分析团队(GReAT)称为“蹲伏的雪人”(Crouching Yeti)。

        这次攻击行动最早可以追溯到2010年末,而且可以肯定的是,这种攻击行动现在仍然正在进行,而且每天都在攻击新的受害者。

        并不是很积极Energetic Bear/Crouching Yeti(蹲伏的雪人)同多起高级可持续性威胁(APT)攻击行动有关。根据卡巴斯基实验室的研究,这次攻击的受害者涉及的企业范围,比之前设想的要更为广泛。大多数受害企业或组织均属于以下行业或领域:

  • 工业/机械制造业
  • 制造业
  • 制药行业
  • 建筑业
  • 教育行业
  • 信息技术行业

        目前,全球范围内已知的受害组织数量已经超过2800家,卡巴斯基实验室的研究人员能够确认的有101家。受害者列表显示,“蹲伏的雪人”似乎对战略性目标比较感兴趣,但是对很多并不起眼的机构和组织同样不放过。卡巴斯基实验室的专家认为这些被攻击的组织可能是间接受害者。或者,还有一种解释,即Crouching Yeti(蹲伏的雪人)不仅能够对特定领域的目标发动针对性攻击,还是一种全面的监控行动,能够针对不同行业的企业和组织发动攻击,实施监视。

        受攻击组织大多数位于美国、西班牙、日本、德国、法国、意大利、土耳其、爱尔兰、波兰和中国。根据已知受害者的性质,可以得知遭受攻击对这些组织最大的影响是造成机密信息泄漏,例如商业机密和专业知识。

        包含多个附加模块的恶意工具. Crouching Yeti(蹲伏的雪人)并不能说是一种复杂的攻击行动。例如,攻击者并没有使用零日漏洞,而是仅仅使用了互联网上很常见的漏洞。但是,这并没有阻止这次攻击行动潜伏很多年,直到最近才被发现。

        卡巴斯基实验室的研究人员发现的证据表明,攻击者使用了五种恶意工具从受感染系统中窃取重要的信息和数据,这五种恶意工具如下:

  • Havex木马
  • Sysmain木马
  • ClientX后门程序
  • Karagany后门程序和相关窃密程序
  • 横向移动和二级工具

        其中,使用最广泛的工具是Havex木马。卡巴斯基实验室的研究人员在此次攻击行动中共发现了27种不同的恶意程序版本以及多种附加组件,其中还包括用来从工业控制系统中收集数据的工具。

        为了发送命令和实施控制,Crouching Yeti使用Havex和其他恶意工具连接到已经被攻陷的大型网络。这些网站存储大量受害者信息,能够向受感染系统发送命令,同时植入附加的恶意软件组件。

        可以下载的恶意组件包括用于窃取Outlook密码和联系人的恶意工具、截屏软件以及用来搜索和窃取指定文件类型的模块。其窃取的文件类型包括文本文档、Excel文档、数据库文件、PDF文件、虚拟驱动器以及受密码保护的文件和pgp安全密匙等。

        工业间谍行为。目前,我们知道Havex木马有两个非常特殊的模块,用于从特定的工业IT环境中收集和窃取数据。第一个为OPC扫描模块。该模块可以用来收集运行于局域网中的OPC服务器的详细数据。这类服务器通常会应用于同时使用多种工业自动化系统的网络环境中。

        OPC扫描模块一般搭配网络扫描工具使用。这一模块用来扫描局域网,查找监听同OPC/SCADA软件相关端口的计算机,并试图连接这类主机,确认所运行的OPC/SCADA系统,并将收集到的数据传输到命令和控制服务器。

        神秘的身世。卡巴斯基实验室研究人员发现多个标记特征,可以用来确认这次攻击行动幕后的网络罪犯来自哪个国家。卡巴斯基实验室对154个文件进行了文件的时间戳(timestamp)分析,发现大部分样本的编译时间均在世界协调时(UTC)06:00至16:00之间,这意味着其编写者应该位于欧洲或东欧的某个国家。

        安全专家还分析了攻击者所使用的语言。分析发现,恶意软件中的字符串使用的是英语(由母语是非英语的人所写)。同之前对这次攻击行动进行调查的研究人员不同,卡巴斯基实验室的专业人员无法肯定攻击者来自俄罗斯。我们所分析的近200个恶意代码文件和相关操作内容均不包含任何斯拉夫字符内容(或音译内容)。这一点同卡巴斯基实验室之前发现的Red October、Miniduke、Cosmicduke、Snake和TeamSpy完全不同。此外,在针对所用语言的分析中,我们还发现了法语和瑞典语的特征。

        卡巴斯基实验室首席安全研究员Nicolas Brulez表示,“最初,Crowd Strike根据自己的命名规则,将这次攻击行动命名为Energetic Bear。其中的Bear表明其属性,因为Crowd Strike认为这次攻击行动的源头在俄罗斯。卡巴斯基实验室正在对现有线索进行调查,而且,目前没有足够的证据表明上述推测。此外,我们的分析表明,这次行动的攻击目标遍及全球,而非之前认为的仅仅针对能源行业。根据这些数据,我们决定重新为其命名:Yeti(雪人)不会令人想到熊,而且其身世充满了谜团。”

        卡巴斯基实验室的专家仍在同执法机关和业内合作伙伴合作,针对这次攻击行动进行研究和调查。研究报告全文请参照Securelist.com

        检测。卡巴斯基实验室产品能够检测和清除此次攻击行动中使用的所有恶意软件变种,包括但不限于以下恶意程序:

        Trojan.Win32.Sysmain.xxx, Trojan.Win32.Havex.xxx, Trojan.Win32.ddex.xxx,

        Backdoor.MSIL.ClientX.xxx, Trojan.Win32.Karagany.xxx, Trojan, Spy.Win32.HavexOPC.xxx,

        Trojan-Spy.Win32.HavexNk2.xxx, Trojan-Dropper.Win32.HavexDrop.xxx,

        Trojan-Spy.Win32.HavexNetscan.xxx, Trojan-Spy.Win32.HavexSysinfo.xxx