Vyplývá to z analýzy, kterou zveřejnila společnost Kaspersky Lab a její Global Research and Analysis Team (GReAT). Ten se zaměřil na zevrubnou analýzu malwaru a řídící infrastruktury, které byly použity v souvislosti s touto kyberšpionážní kampaní. Energetic Bear alias Crouching Yeti je zapojen do několika pokročilých kampaní trvalého ohrožení (advanced persistant threat – APT). Podle zjištění Kaspersky Lab je seznam jejích obětí mnohem širší, než se dříve zdálo. Nejvíce zasažených cílů se vyskytuje v sektorech strojírenství, výroby, ve farmaceutickém průmyslu, stavebnictví a IT. Cílí také na vzdělávací instituce. Napadené organizace pocházejí většinou ze Spojených států, Španělska a Japonska, řada z nich ale sídlí i v Německu, Francii, Itálii, Turecku, Irsku, Polsku a Číně. Vhledem k povaze známých obětí je jejím hlavním cílem odhalení velmi citlivých informací jako jsou obchodní tajemství a know-how.
Celkově má kampaň na svědomí přes 2 800 obětí, ze kterých se týmu Kaspersky Lab podařilo identifikovat 101 organizací. Seznam těchto poškozených ukazuje na zálibu autorů kampaně Crouching Yeti ve strategických cílech, ale zároveň na něm najdeme i ty nepříliš pravděpodobné. Experti Kaspersky Lab se domnívají, že některé instituce mohou být vedlejšími, nezamýšlenými oběťmi. Crouching Yeti je ale nejspíše rozsáhlá sledovací kampaň s různými cíli v mnoha odvětvích.
Crouching Yeti není příliš sofistikovaný. Útočníci například nepoužívají zero-day útoky (útok, proti kterému ještě neexistuje obrana), ale pouze hrozby, které jsou již na internetu známé. Kampaň přesto nepozorovaně běžela několik let. Jejím nejčastěji používaným nástrojem je trojský kůň Havex. Kaspersky Lab objevila celkem 27 verzí tohoto zákeřného programu a také několik dodatečných modulů, jejichž cílem je sběr dat z průmyslových kontrolních systémů. Produkty Kaspersky Lab detekují a odstraňují všechny druhy malwaru použité v této kampani.
K ovládání a kontrole využívá Havex, a jemu podobné nástroje, širokou síť webových stránek napadených hackery. Tyto stránky obsahují informace o oběti a pomocí dalších malwarových modulů udílejí příkazy nakaženým systémům. Seznam dostupných modulů obsahuje nástroje pro krádež přístupových hesel, kontaktů v Outlooku, získání screenshotů a také moduly pro vyhledávání a zničení určitých typů souborů: textových dokumentů, tabulek, databází, PDF souborů, virtuálních disků, souborů chráněných heslem, bezpečnostních klíčů pgp atd.
Trojský kůň Havex má v současnosti dva známé moduly zaměřené na sběr a odesílání dat. Modul OPC skenr je navržen k získávání extrémně podrobných informací o OPC serverech, které běží na místní síti. Takové servery se většinou používají tam, kde je souběžně v chodu více průmyslových automatických systémů. Druhý modul je nástrojem pro skenování místních sítí, který vyhledává počítače připojené přes software OPC/SCADA. K těmto hostitelským počítačům se snaží připojit, aby zjistil, který systém OPC/SCADA právě běží, a odeslal všechna získaná data kontrolním a řídícím serverům.
Experti analyzovali také jazyk autorů. Řetězce ve zkoumaném malwaru jsou v angličtině (avšak ne psané rodilým mluvčím). Výsledky odborníků, kteří zkoumali malware již dříve, ukazují, že autor pocházel z Ruska. To však nelze podle analytiků Kaspersky lab zcela jistě určit.
Plné znění výsledků jejich výzkumu je k dispozici na webu Securelist.com.
video