كاسبرسكي لاب تحدد بنية تحتية لجماعة Crouching Yeti التخريبية
كشفت شركة كاسبرسكي لاب عن بنية تحتية تستخدمها جماعة تخريبية ناطقة بالروسية تُدعى Crouching Yeti معروفة بالتهديدات المستمرة المتقدمة، وتشتمل البنية التحتية المكتشفة لهذه الجماعة التخريبية التي تُعرف كذلك بالاسم Energetic Bear، على خوادم مخترقة في جميع أنحاء العالم.
وأظهرت أبحاث كاسبرسكي لاب أن هذه الجماعة استطاعت أن تضرب العديد من الخوادم في بلدان مختلفة منذ العام 2016، وهو ما مثل في بعض الأحيان وسيلة للوصول إلى موارد أخرى، فيما استخدمت خوادم أخرى، بينها ما يستضيف مواقع روسية، كمنافذ للوصول إلى الشركات وفق الأسلوب المعروف باسم Watering Holes.
وتعتبر Crouching Yeti جماعة متطورة ناطقة بالروسية تنشط في التهديدات المستمرة المتقدمة، وتقوم كاسبرسكي بتتبع نشاطها منذ العام 2010، ومن المعروف أنها تستهدف القطاعات الصناعية في جميع أنحاء العالم، مع التركيز بشكل أساسي على مرافق الطاقة بهدف سرقة البيانات ذات القيمة الكبيرة من الأنظمة التي تقع ضحية لها.
وتتبع هذه الجماعة أساليب متنوعة من بينها هجمات ما يُعرف بـ Watering Holes، حيث يقوم المهاجمون بإدخال رابط إلى مواقع ويب تُستخدم بكثرة بين موظفي الشركة ليُعيد توجيه الزائرين إلى خادم خبيث.
واكتشفت كاسبرسكي لاب في الآونة الأخيرة عدداً من الخوادم التي تم اختراقها من قبل الجماعة التخريبية، والتي تنتمي إلى شركات عدّة في روسيا والولايات المتحدة وتركيا ودول أوروبية، ولا تقتصر على الشركات الصناعية، ووفقاً للباحثين في الشركة، فقد تم استهداف هذه الخوادم في العامين 2016 و2017 لأغراض مختلفة، ولهذا كانت تُستخدم في بعض الحالات كوسيط لتنفيذ هجمات على موارد أخرى.
واستطاع الباحثون، خلال عملية تحليل أجروها على الخوادم المصابة، تحديد العديد من المواقع والخوادم التي تستخدمها الشركات في روسيا والولايات المتحدة وأوروبا وآسيا وأمريكا اللاتينية، والتي قام المهاجمون بفحصها بأدوات مختلفة، للعثور ربما على خادم يمكن استخدامه كموطئ قدم لاستضافة أدوات المهاجمين ومن ثم شنّ الهجمات انطلاقاً منه.
وقد تكون بعض المواقع المفحوصة قد أثارت اهتمام المهاجمين بوصفها مُرشحة لتصبح Watering Holes للإيقاع بالضحايا، ووجد الباحثون أن مجموعة المواقع والخوادم التي استحوذت على اهتمام المهاجمين كانت واسعة النطاق، وأنهم قد فحصوا كثيراً من المواقع الإلكترونية من مختلف الأنواع، كالمتاجر والخدمات الإلكترونية، والمؤسسات العامة، والمنظمات غير الحكومية، وشركات التصنيع، وغيرها.
كذلك وجد الخبراء أن الجماعة استخدمت أدوات خبيثة متاحة للجمهور ومصممة لتحليل الخوادم وفحصها، وللبحث عن المعلومات وجمعها، كما تم اكتشاف ملف معدل من نوع sshd مع منفَذ خلفي سبق تثبيته على الجهاز، وتم استخدام هذا الملف لاستبدال الملف الأصلي به، والذي يمكن تشغيله باستخدام “كلمة مرور رئيسية”.
وأكّد ڤلاديمير داشنكو، رئيس مجموعة الأبحاث المتعلقة بالثغرات في فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي لاب، أن الجماعة الناطقة بالروسية Crouching Yeti تتسم بسمعة سيئة لافتاً إلى أنها تنشط منذ عدة سنوات ولا تزال تستهدف بنجاح الشركات الصناعية من خلال هجمات Watering Holes وأساليب أخرى، وقال: “تُظهر النتائج التي توصلنا إليها أن الجماعة اخترقت أجهزة خادمة لا من أجل إنشاء Watering Holes للإيقاع بضحاياها فقط، ولكن أيضاً لإجراء مزيد من الفحوصات، كما نشطت في استخدام أدوات مفتوحة المصدر جعلت تحديدها بعد ذلك أمراً صعباً”،
وأضاف داشنكو: “تسخر الجماعة أنشطتها، مثل الجمع الأولي للبيانات وسرقة بيانات التحقق من الهوية وفحص الموارد، من أجل شنّ مزيد من الهجمات، ويشير تنوع الخوادم المصابة والموارد المفحوصة إلى أن الجماعة قد تكون عملت لصالح أطراف أخرى”.
وتوصي شركة كاسبرسكي لاب بأن تقوم الشركات بتطبيق نظام شامل للحماية من التهديدات المتقدمة، يتضمن حلولاً أمنية مخصصة للكشف عن الهجمات الموجّهة والتعامل مع الحوادث، بالإضافة إلى اللجوء للخدمات المقدمة من الخبراء والمعلومات المتعلقة بالتهديدات.
