Los sectores estratégicos atacados son industrial, maquinaria, fabricación, farmacéutica, construcción, educación y TI, que afecta a empresas de todo el mundo.
Kaspersky Lab presentó un análisis a fondo del malware de infraestructura de los servidores de comando y control (C&C) relacionado Crouching Yeti (Yeti Agachado), la campaña de ciberespionaje enfocada en atacar a varios sectores estratégicos, con más de 2,800 blancos alrededor del mundo.
Crouching Yeti, conocida como Energetic Bear, está involucrada en varias campañas de amenazas persistentes avanzadas (APT) activas desde los últimos meses del 2010. De acuerdo con el análisis, las víctimas de estos ataques estar en una gama más amplia de empresas principalmente de los sectores:
- Industrial/maquinaria
- Fabricación
- Farmacéutica
- Construcción
- Educación
- Tecnología de la información
Del total de víctimas conocidas en el mundo, los investigadores de Kaspersky Lab destacaron que las organizaciones atacadas están principalmente en Estados Unidos, España, Japón, Alemania, Francia, Italia, Turquía, Irlanda, Polonia y China; mientras que en América Latina se localizan en Argentina, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Paraguay, Perú, Puerto Rico, República Dominicana y Venezuela.
Asimismo, el análisis destaca que el Crouching Yeti se centra en blancos estratégicos, aunque también ataca otras instituciones no tan obvias, que podrían tratarse de víctimas colaterales.
Si bien Crouching Yeti ha realiza campañas masivas de ciberespionaje, no existen evidencia de que utiliza exploits o malware. Kaspersky informa que los hackers no utilizan exploits día-cero, sino exploits que están disponibles en Internet, como son: el troyano Havex y Sysmain; el backdoor ClientX y Karagany, y "Lateral Movement" y herramientas de segunda etapa.
La herramienta más utilizada es Havex, con alrededor de 27 versiones diferentes y muchos módulos adicionales, que incluyen herramientas destinadas a recopilar datos de sistemas de control industrial. La lista de módulos descargables incluye herramientas para el robo de contraseñas y contactos de Outlook, captura de pantalla, y también módulos de búsqueda y robo de ciertos tipos de archivos: documentos de texto, hojas de cálculo, bases de datos, archivos PDF, unidades virtuales, archivos protegidos por contraseña, claves de seguridad pgp, etc.