Der Yeti kauert noch immer im Wald

Die Analysten von Kaspersky Lab haben die Fortsetzung ihrer Untersuchung der Spionage-Kampagne Crouching Yeti veröffentlicht, auch bekannt als Energetic Bear. Nach Angaben der Forscher nahm die Kampagne, die Anfang 2014 aufgedeckt wurde, bereits im Jahr 2010 ihren Anfang und ist bis zum heutigen Tag aktiv.

Die Kampagne richtet sich in erster Linie gegen Unternehmen aus dem Bereich Maschinenbau, verarbeitende Industrie, Pharmazie, Bau, Bildung und IT. Die Cyberkriminellen hinter Crouching Yeti versuchen automatisierte Steuerungssysteme in Betrieben aus den entsprechenden Branchen anzugreifen. Zu diesem Zweck infizieren sie OPC-Server (OPC – OLE for Process Control, Familie von Softwareschnittstellen für die Steuerung technischer Prozesse) in Industrienetzwerken. Die Muttersprache der Autoren dieser Kampagne ist vermutlich russisch.

Die Experten von Kaspersky Lab beobachten die Command- and Control-Server der Schädlinge, die bei dieser Kampagne benutzt werden – die Trojaner Havex und Sysmain sowie die Backdoor ClientX. Die gesammelten Daten ermöglichten es den Forschern, einige Schlussfolgerungen bezüglich der Aktivität der Kampagne zu ziehen.

Insgesamt wurden 69 individuelle Control- and Command-Domains beobachtet, an die nach Stand vom 4. März 2015 3.699 Opfer von 57.796 unterschiedlichen IP-Adressen verbunden waren. 34 dieser Server befanden sich in den USA, 8 in Deutschland, 7 in Russland, 5 in Großbritannien. Die Zahl der an die Server angeschlossenen Opfer geht zurück, bleibt aber durchschnittlich auf einem Niveau von etwa 1000 individuellen Anschlüssen pro Tag.

Auf dem Diagramm unten ist die Verteilung der Opfer von Crouching Yeti nach Ländern dargestellt. Das Hauptaugenmerk der Cyberkriminellen liegt ganz offensichtlich auf Europa.

„Die analysierten Daten zur Kommunikation mit den Steuerungsservern zeugen davon, dass die Zahl der Crouching Yeti-Opfer weiterhin wächst, obgleich die KSN-Daten zur verbleibenden Zahl der Infektionen ein anderes Bild zeichnen“, schreiben die Analysten Dani Creus und Marco Preuss von Kaspersky Lab in ihrer Studie. „Bedenkt man die Natur dieser Bedrohung und den Betriebsstatus der Infrastruktur, so haben die Betreiber höchstwahrscheinlich ihre Infrastruktur, die Technik und ihre Ziele bereits geändert.“

Quelle:        Securelist

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.