Crouching Yeti , una nuova minaccia di spionaggio industriale

Si chiama Crouching Yeti ed è un'operazione di spionaggio informatico condotta su larga scala iniziata nel 2010 e al momento attuale ancora attiva. I dettagli sono stati diffusi dal Global Research and Analysis Team di Kaspersky Lab (GReAT).Questa operazione era anche denominata Energetic Bear ma i fatti hanno evidenziato che il target è ben più ampio del solo settore energetico.

Il totale di attacchi accertati a livello globale è pari a oltre 2800 e riguardano realtà dei settori industriale/meccanico, manifatturiero, farmaceutico, costruzioni, istruzione e IT. Il report di Kaspersky Labs indica anche le aree geografiche nelle quali sono stati condotti gli attacchi: si tratta di Stati Uniti, Spagna, Giappone, Germania, Francia, Italia, Turchia, Irlanda, Polonia e Cina.

L'analisi degli obiettivi verso i quali erano condotti gli attacchi ha portato Kaspersky Labs alla conclusione che la più importante conseguenza sarà la divulgazione di dati riservati, sensibili e informazioni commerciali di valore. Purtroppo al momento attuale non si è ancora individuata la reale provenienza geografica di questa operazione: Kaspersky Labs si limita a indicare che alcuni elementi suggeriscono come probabile area quella europea, con l'ipotetica provenienza da Francia o Svezia.

Gli esperti di sicurezza sono concordi nel rilevare che Crouching Yeti sia una campagna molto sofisticata, e tra le caratteristiche interessanti c'è quella relativa all'utilizzo di exploit noti da tempo: in questo modo gli sviluppatori del codice avrebbero quindi cercato di evitare exploit zero-day rimanendo così meno esposti.

Per condurre gli attacchi uno degli strumenti più usati è stato Hevex Trojan del quale si identificano ad oggi ben 27 varianti. Questa minaccia come anche le altre utilizzate in modo minore potevano contare su una struttura di comando e controllo molto articolata: un'ampia serie di siti web violati permetteva la distribuzione di aggiornamenti e moduli aggiuntivi.

E proprio l'aspetto dei moduli aggiuntivi merita un commento dedicato. Crouching Yeti poteva contare su moduli specifici in grado di rubare screenshot, password, contatti dalla rubrica di Outlook, file PDF e unità virtuali. Per lo spionaggio industriale erano anche disponibili moduli dedicati ,capaci di effettuare la scansione della rete in cerca di sistemi OPC/SCADA (Supervisory Control And Data Acquisition), soluzioni tipicamente utilizzate in ambito industriale per la gestione e il controllo di sistemi fisici.

Tutti i dettagli al momento attuale divulgati sono disponibili in questa FAQ di Securelist.com