Crouching Yeti alias Energetic Bear: Über 2.800 Schadensfälle Crouching Yeti alias Energetic Bear: Über 2.800 Schadensfälle  - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


31.07.2014 Wolfgang Franz/pi

Crouching Yeti alias Energetic Bear: Über 2.800 Schadensfälle

Kaspersky Lab veröffentlicht eine umfassende Analyse über die Schadsoftware, ihre Ziele und die Täter von Crouching Yeti bzw. Energetic Bear.

Die Kampagne geht bereits auf das Ende des Jahres 2010 zurück.

Die Kampagne geht bereits auf das Ende des Jahres 2010 zurück.

© Hans-Joachim Roy/Fotolia

In einem aktuellen Blogbeitrag sowie einer umfassenden Analyse veröffentlichten die Experten von Kaspersky Lab die Ergebnisse zur Cyberkampagne Crouching Yeti. Diesen neuen Namen gab das Global Research and Analysis Team (GReAT) der Schadsoftware, die bereits unter Energetic Bear bekannt ist. Kaspersky Lab hat außerdem Details zur Command-and-Control-Server (C&C)-Infrastruktur veröffentlicht. Die Kampagne geht bereits auf das Ende des Jahres 2010 zurück, ist aber immer noch aktiv und sucht sich täglich neue Opfer.

Opfer aus Industrie, Pharma, Baugewerbe, Bildung und IT Crouching Yeti ist in verschiedene APT-Kampagnen (Advanced Persistent Threat) verwickelt, also systematisch und längerfristig angelegten Kampagnen, die sich gegen ein breites Spektrum an Unternehmen und Organisationen verschiedener Bereiche richten. Die meisten Geschädigten kommen aus den Branchen, Automation, Produktion, Pharma, Baugewerbe, Bildung sowie Informationstechnologie.

Diese Liste lässt einerseits Rückschlüsse auf eine bestimmte Strategie der Angreifer zu, andererseits finden sich auch Geschädigte in zunächst nicht vermuteten Bereichen. Die Experten von Kaspersky Lab glauben, dass es sich dabei um kollateral geschädigte Organisationen handeln könnte, die zunächst gar nicht im Fokus der Angreifer standen. Genauso denkbar wäre aber, dass "Crouching Yeti" keine auf bestimmte Zielgruppen gerichtete Kampagne ist, sondern breit angelegte Spionageaktivitäten in sehr unterschiedlichen Bereichen verfolgt. Zu finden sind die meisten bisher bekannten Opfer in den USA, Spanien, Japan, Deutschland, Frankreich, Italien, Türkei, Irland, Polen, China sowie in der Schweiz.

Industriespionage
Dabei geht die Cyberkampagne nicht gerade raffiniert vor und nutzt zum Beispiel keine Zero-Day Exploits, sondern im Internet verfügbare Exploit-Codes für bekannte Schwachstellen. Dennoch ist es Crouching Yeti gelungen, jahrelang unentdeckt zu bleiben.

Jetzt konnten die Experten von Kaspersky Lab fünf Typen von Schadprogrammen identifizieren, mit denen die Angreifer an wertvolle Informationen bei ihren Opfern gelangen konnten. Es handelt sich dabei um den Trojaner Havex, den Trojaner Sysmain, das Backdoor-Programm ClientX, das Backdoor-Programm Karagany zusammen mit weiteren Schadprogrammen und sogenannte Lateral Movement und Second Stage Tools.

Der Trojaner Havex ist am weitesten verbreitet. Die Experten von Kaspersky Lab fanden davon allein 27 unterschiedliche Varianten und weitere zusätzliche Module, wie zum Beispiel Werkzeuge zum Sammeln von Informationen über von der Industrie genutzte Kontrollsysteme.

Für ihre Steuerung sind die Schadprogramme von Crouching Yeti mit einem breiten Netzwerk aus gehackten Webseiten verbunden. Diese sammeln Informationen über die Geschädigten und schicken entsprechende Befehle oder weitere Schadmodule an die bereits infizierten Systeme.

Dazu gehören Module für den Diebstahl von Passwörtern und Outlook-Kontaktdaten, Module zur Anfertigung von Screenshots und solche, mit denen nach bestimmten Dateitypen gesucht werden kann, um diese zu entwenden. Textdateien, Kalkulationstabellen, Datenbanken und PDF-Dokumente sind genauso betroffen wie virtuelle Laufwerke, Passwort-geschützte Dateien und PGP-Schlüssel.

Nach derzeitigem Kenntnisstand verfügt Harvex auch über zwei sehr spezialisierte Module, mit deren Hilfe die Angreifer an die Daten bestimmter industrieller IT-Umgebungen gelangen können. Eines davon ist das OPC-Scanner-Modul, mit dem sehr detaillierte Informationen über alle OPC-Server im Unternehmensnetzwerk gewonnen werden. Diese Server werden in der Regel für den Einsatz mehrerer parallel laufender industrieller Automatisierungssysteme benötigt.

Das zweite Modul sucht nach allen Rechnern im Unternehmensnetzwerk, deren Ports mit OPC/SCADA-Software verbunden sind. Das entsprechende OPC/SCADA-System wird daraufhin identifiziert und alle gesammelten Daten an die C&C-Server (Command-and-Control Server) übertragen.

Täter sind noch nicht eindeutig identifiziert

Im Rahmen ihrer Recherche entdeckten die Experten von Kaspersky Lab zahlreiche Hinweise auf die Herkunft der Hintermänner der Cyberkampagne. Eine Auswertung der Zeitstempel von 154 Dateien ergab Kompilierungszeiten zwischen 8 Uhr und 16 Uhr (Weltzeit). Das deutet darauf hin, dass die Täter irgendwo in West- oder Osteuropa sitzen.

Auch die Sprache der Täter wurde unter die Lupe genommen. Demnach handelt es sich um ein leicht fehlerhaft gebrauchtes Englisch. Im Gegensatz zu vorherigen Expertenmeinungen kann Kaspersky Lab keine sicheren Rückschlüsse ziehen, dass die Täter russischen Ursprungs sind, wie dies bei Roter Oktober, Miniduke, Cosmicduke, Snake und TeamSpy der Fall war. In den fast 200 untersuchten Schadprogrammen von Crouching Yeti wurden nämlich keinerlei Anzeichen für kyrillische Buchstaben beziehungsweise deren entsprechende Transliteration gefunden. Es wurden allerdings sprachliche Hinweise gefunden, die auf französisch- und schwedisch-sprachige Täter deuten.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr

Hosted by:    Security Monitoring by: