Kaspersky Lab, Rusça konuşan kişilerden oluşan ve Energetic Bear olarak da bilinen tanınmış APT grubu Crouching Yeti’nin kullandığı altyapıyı dünyanın dört bir yanında ele geçirilmiş sunucularıyla birlikte ortaya çıkardı. Yapılan araştırmada, başka kaynaklara erişmek amacıyla 2016’dan bu yana birçok ülkede sayısız sunucunun saldırıya uğradığı belirtildi. Rus web sitelerinin yer aldığı diğer sunucular ise tuzak olarak kullanıldı.
Crouching Yeti, Kaspersky Lab’in 2010’dan beri takip ettiği, Rusça konuşan kişilerden oluşan bir gelişmiş kalıcı tehdit (APT) grubu. Tüm dünyada başta enerji tesisleri olmak üzere endüstriyel sektörleri hedef almasıyla bilinen grup, hedef sistemlerden değerli verileri çalmayı amaçlıyor. Grubun sıkça kullandığı tekniklerden biri ise hedeflenen kurumlarda çalışanların sık ziyaret ettikleri web sitelerini ele geçirerek tuzak kurmak. Saldırganlar bu sitelere bağlantı ekleyerek ziyaretçileri kötü amaçlı sunucuya yönlendiriyor.
Kaspersky Lab yakın zaman önce, grup tarafından ele geçirilmiş çok sayıda sunucu keşfetti. Bu sunucuların Rusya, ABD, Türkiye ve Avrupa’daki farklı kurumlara ait olduğu belirlendi. Kurumlar arasında yalnızca endüstriyel şirketlerin olmadığı da tespit edildi. Araştırmacılara göre bu sunucular 2016 ve 2017 yıllarında farklı amaçlarla saldırıya uğradı. Sunucuların tuzak kurmanın yanı sıra başka kaynaklara saldırı düzenlemek için aracı olarak da kullanıldığı ortaya çıktı.
Saldırıya uğrayan sunucuların analizinde araştırmacılar Rusya, ABD, Avrupa, Asya ve Latin Amerika’da kurumların kullandığı çok sayıda web sitesi ve sunucunun, saldırganlar tarafından muhtemelen gerekli araçları saklayıp sonrasında saldırıyı gerçekleştirmek için kullanılabilecek bir sunucu bulmak için çeşitli araçlarla tarandığını belirledi. Taranan sitelerin bazıları, tuzak olarak kullanılmak için saldırganların dikkatini çekmiş olabilir. Saldırganların ilgilendiği web sitelerinin ve sunucuların kapsamı ise oldukça geniş. Kaspersky Lab araştırmacıları, saldırganların farklı türlerden çok sayıda web sitesini taradığını keşfetti. Bu web siteleri arasında internet mağazaları ve hizmetleri, kamu kurumları, STK’lar ve üretimle ilgili siteler yer alıyor.
Uzmanlar ayrıca grubun, sunucu analizi ve bilgi toplama amacıyla tasarlanan zararlı araçlar kullandığını da ortaya çıkardı. Ek olarak, önceden yüklenmiş arka kapıya sahip değiştirilmiş bir sshd dosyası da keşfedildi. Bu dosya, orijinal dosyanın yerini alıp bir ‘ana parola’ ile yetki alabiliyor.