Kaspersky_Pressemitteilung_ Crouching Yeti Energetic Bear

Pressemitteilung: Cyberkampagne Crouching Yeti alias Energetic Bear:
Über 2.800 Schadensfälle in mehr als 100 Organisationen
Cyberkampagne Crouching Yeti alias
Energetic Bear: Über 2.800 Schadensfälle in
mehr als 100 Organisationen
Kaspersky Lab veröffentlicht jetzt umfassende Analyse über die Schadsoftware, ihre
Ziele und die Täter
Moskau/lngolstadt, 31. Juli 2014
Angesichts der enormen Zahl von bereits mehr als 2.800 Schadensfällen in 101 als betroffen
identifizierten Unternehmen und Organisationen – auch aus Deutschland und der Schweiz –
hat Kaspersky Lab die noch laufende Cyberkampagne „Crouching Yeti“/„Energetic Bear“
tiefgehend analysiert.
In einem aktuellen Blogbeitrag sowie einer umfassenden Analyse [1] veröffentlichten die Experten von
Kaspersky Lab jetzt die Ergebnisse zur Cyberkampagne „Crouching Yeti“. Diesen neuen Namen gab
das Global Research and Analysis Team (GReAT) der Schadsoftware, die bereits unter „Energetic
Bear“ bekannt ist. Kaspersky Lab hat außerdem Details zur Command-and-Control-Server (C&C)Infrastruktur veröffentlicht. Die Kampagne geht bereits auf das Ende des Jahres 2010 zurück, ist aber
immer noch aktiv und sucht sich täglich neue Opfer.
Opfer aus Industrie, Pharma, Baugewerbe, Bildung und IT
„Crouching Yeti“ ist in verschiedene APT-Kampagnen (Advanced Persistent Threat [2]) verwickelt,
also systematisch und längerfristig angelegten Kampagnen, die sich gegen ein breites Spektrum an
Unternehmen und Organisationen verschiedener Bereiche richten. Die meisten Geschädigten
kommen aus den Branchen






Automation,
Produktion,
Pharma,
Baugewerbe,
Bildung,
sowie Informationstechnologie.
Diese Liste lässt einerseits Rückschlüsse auf eine bestimmte Strategie der Angreifer zu, andererseits
finden sich auch Geschädigte in zunächst nicht vermuteten Bereichen. Die Experten von Kaspersky
Lab glauben, dass es sich dabei um kollateral geschädigte Organisationen handeln könnte, die
zunächst gar nicht im Fokus der Angreifer standen. Genauso denkbar wäre aber, dass „Crouching
Yeti“ keine auf bestimmte Zielgruppen gerichtete Kampagne ist, sondern breit angelegte
Spionageaktivitäten in sehr unterschiedlichen Bereichen verfolgt.
Pressemitteilung: Cyberkampagne Crouching Yeti alias Energetic Bear:
Über 2.800 Schadensfälle in mehr als 100 Organisationen
Zu finden sind die meisten bisher bekannten Opfer in den USA, Spanien, Japan, Deutschland,
Frankreich, Italien, Türkei, Irland, Polen, China sowie in der Schweiz.
Industriespionage
Dabei geht die Cyberkampagne nicht gerade raffiniert vor und nutzt zum Beispiel keine Zero-Day
Exploits, sondern im Internet verfügbare Exploit-Codes für bekannte Schwachstellen. Dennoch ist es
„Crouching Yeti“ gelungen, jahrelang unentdeckt zu bleiben.
Jetzt konnten die Experten von Kaspersky Lab fünf Typen von Schadprogrammen [3] identifizieren,
mit denen die Angreifer an wertvolle Informationen bei ihren Opfern gelangen konnten. Es handelt
sich dabei um





den Trojaner Havex,
den Trojaner Sysmain,
das Backdoor-Programm ClientX
das Backdoor-Programm Karagany zusammen mit weiteren Schadprogrammen,
und sogenannte Lateral Movement und Second Stage Tools.
Der Trojaner Havex ist am weitesten verbreitet. Die Experten von Kaspersky Lab fanden davon allein
27 unterschiedliche Varianten und weitere zusätzliche Module, wie zum Beispiel Werkzeuge zum
Sammeln von Informationen über von der Industrie genutzte Kontrollsysteme.
Für ihre Steuerung sind die Schadprogramme von „Crouching Yeti“ mit einem breiten Netzwerk aus
gehackten Webseiten verbunden. Diese sammeln Informationen über die Geschädigten und schicken
entsprechende Befehle oder weitere Schadmodule an die bereits infizierten Systeme.
Dazu gehören Module für den Diebstahl von Passwörtern und Outlook-Kontaktdaten, Module zur
Anfertigung von Screenshots und solche, mit denen nach bestimmten Dateitypen gesucht werden
kann, um diese zu entwenden. Textdateien, Kalkulationstabellen, Datenbanken und PDF-Dokumente
sind genauso betroffen wie virtuelle Laufwerke, Passwort-geschützte Dateien und PGP-Schlüssel.
Nach derzeitigem Kenntnisstand verfügt Harvex auch über zwei sehr spezialisierte Module, mit deren
Hilfe die Angreifer an die Daten bestimmter industrieller IT-Umgebungen gelangen können. Eines
davon ist das OPC-Scanner-Modul, mit dem sehr detaillierte Informationen über alle OPC-Server im
Unternehmensnetzwerk gewonnen werden. Diese Server werden in der Regel für den Einsatz
mehrerer parallel laufender industrieller Automatisierungssysteme benötigt.
Das zweite Modul sucht nach allen Rechnern im Unternehmensnetzwerk, deren Ports mit
OPC/SCADA-Software verbunden sind. Das entsprechende OPC/SCADA-System wird daraufhin
identifiziert und alle gesammelten Daten an die C&C-Server (Command-and-Control Server)
übertragen.
Täter sind noch nicht eindeutig identifiziert
Im Rahmen ihrer Recherche entdeckten die Experten von Kaspersky Lab zahlreiche Hinweise auf die
Herkunft der Hintermänner der Cyberkampagne. Eine Auswertung der Zeitstempel von 154 Dateien
ergab Kompilierungszeiten zwischen 8 Uhr und 16 Uhr (Weltzeit). Das deutet darauf hin, dass die
Täter irgendwo in West- oder Osteuropa sitzen.
Auch die Sprache der Täter wurde unter die Lupe genommen. Demnach handelt es sich um ein leicht
fehlerhaft gebrauchtes Englisch. Im Gegensatz zu vorherigen Expertenmeinungen kann Kaspersky
Pressemitteilung: Cyberkampagne Crouching Yeti alias Energetic Bear:
Über 2.800 Schadensfälle in mehr als 100 Organisationen
Lab keine sicheren Rückschlüsse ziehen, dass die Täter russischen Ursprungs sind, wie dies bei
Roter Oktober, Miniduke, Cosmicduke, Snake und TeamSpy der Fall war. In den fast 200
untersuchten Schadprogrammen von „Crouching Yeti“ wurden nämlich keinerlei Anzeichen für
kyrillische Buchstaben beziehungsweise deren entsprechende Transliteration gefunden.Es wurden
allerdings sprachliche Hinweise gefunden, die auf französisch- und schwedisch-sprachige Täter
deuten.
Bär oder Yeti?
„Der Name ‚Energetic Bear‘ für die Schadkampagne ‚Crouching Yeti‘ wurde ursprünglich von Crowd
Strike gemäß deren Nomenklatur vergeben“, erklärt Nicolas Brulez, Principal Security Researcher bei
Kaspersky Lab. „Mit dem Bär im Namen wollte Crowd Strike symbolisch auf die vermutete russische
Herkunft der Kampagne verweisen. Kaspersky Lab geht weiter allen Spuren nach, aber wir haben
derzeit noch keine konkreten Anhaltspunkte für eine bestimmte Richtung. Allerdings wissen wir, dass
sich die Angreifer nicht nur auf das produzierende Gewerbe konzentrieren, sondern ihre Kampagne
weltweit und mit einem breiteren Fokus ausgerichtet haben. Auf Basis dieser Erkenntnis haben wir
einen neuen Namen gewählt: Der Yeti erinnert an einen Bär, ist aber zugleich noch ein Mysterium.“
Kaspersky Lab führt weitere Untersuchungen von „Crouching Yeti“ fort und arbeitet parallel mit den
Strafverfolgungsbehörden sowie Partnern aus der Industrie zusammen. Eine detaillierte Beschreibung
der
Kampagne
inklusive
PDF-Report
zum
Download
ist
unter
http://securelist.com/blog/research/65240/energetic-bear-more-like-a-crouching-yeti veröffentlicht.
[1]
http://securelist.com/blog/research/65240/energetic-bear-more-like-a-crouching-yeti
[2]
http://de.wikipedia.org/wiki/Advanced_Persistent_Threat
[3]
Die Produkte von Kaspersky Lab erkennen und eliminieren alle Arten von Schadprogrammen, die an der Kampagne
Crouching Yeti beteiligt sind. Darunter sind auch Trojan.Win32.Sysmain.xxx, Trojan.Win32.Havex.xxx, Trojan.Win32.ddex.xxx,
Backdoor.MSIL.ClientX.xxx, Trojan.Win32.Karagany.xxx, Trojan, Spy.Win32.HavexOPC.xxx, Trojan-Spy.Win32.HavexNk2.xxx,
Trojan-Dropper.Win32.HavexDrop.xxx, Trojan-Spy.Win32.HavexNetscan.xxx, Trojan-Spy.Win32.HavexSysinfo.xxx
Nützliche Links:


Blog: http://securelist.com/blog/research/65240/energetic-bear-more-like-a-crouching-yeti
Analyse: http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2014/07/EBYetiJuly2014-Public.pdf
Über Kaspersky Lab
Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Das Unternehmen zählt zu
den vier erfolgreichsten Herstellern von Sicherheitslösungen für Endpoint-Nutzer.* In seiner über 16-jährigen
Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet
Pressemitteilung: Cyberkampagne Crouching Yeti alias Energetic Bear:
Über 2.800 Schadensfälle in mehr als 100 Organisationen
effektive digitale Sicherheitslösungen für Großunternehmen, KMU und Heimanwender. Kaspersky Lab, mit Holding in
Großbritannien, ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit.
Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/. Kurzinformationen erhalten Sie zudem
über www.twitter.com/Kaspersky_DACH und www.facebook.com/Kaspersky.Lab.DACH. Aktuelles zu Viren, Spyware, Spam
sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter www.viruslist.de und auf dem Kaspersky-Blog
auf http://blog.kaspersky.de/ abrufbar.
* The company was rated fourth in the IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. The rating was published in
the IDC report "Worldwide Endpoint Security 2013–2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). The report
ranked software vendors according to earnings from sales of endpoint security solutions in 2012.
Redaktionskontakt:
essential media GmbH
Florian Schafroth
[email protected]
Tel.: +49-89-7472-62-43
Fax: +49-89-7472-62-17
Landwehrstraße 61
80336 München
Kaspersky Labs GmbH
Stefan Rojacher
[email protected]
Tel.: +49-841-98-189-325
Fax: +49-841-98-189-100
Despag-Straße 3
85055 Ingolstadt
© 2014 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky
Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing
herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial
errors or omissions contained herein.