2 800 компаний стали жертвами глобальной кампании кибершпионажа Crouching Yeti

Около 2 800 компаний пострадали в результате глобальной кампании кибершпионажа Crouching Yeti (также известной как Energetic Bear), сообщает “Лаборатория Касперского”. В то время как CrowdStrike утверждает, что кибератаку совершили российские хакеры, исследователи из ЛК пока не решаются называть конкретные факты.

В “Лаборатории Касперского” утверждают, что, скорее всего, группа злоумышленников начала свою работу еще в далеком 2010 году и продолжает совершать кибернападения по сей день. Одной из особенностей кампании является нацеленность на индустриальные ИТ-инфраструктуры и системы. Среди жертв кибератак— предприятия отрасли машиностроения, энергетики, промышленного производства, строительства, фармацевтические организации, ИТ-компании и образовательные учреждения.

Мошенники использовали три тактики для распространения вредоносного ПО: фишинг с использованием PDF документов с наличием эксплоита для CVE-2011-0611, уязвимости Adobe Flash Player; атаки с использованием набора эксплоитов; и зараженные троянами установщики. Самым распространенным из них является троянец Havex — было найдено 27 различных версий этого зловреда, в том числе дополнительные модули, нацеленные на сбор данных из индустриальных систем.

Серверы управления и контроля скомпрометировали сайты со всего мира. В общей сложности, Лаборатория Касперского обнаружила 219 уникальных доменных имен для этих серверов, размещенных в различных странах. 81 из них - в США, 33 – в Германии. Наибольшее количество атак осуществляется на: ​​Испанию, Японию, Германию, Францию, Италию, Турцию, Ирландию, Польшу, Китай и Соединенные Штаты Америки.