Type de virus : programme malveillant/menace persistante avancée (APT)
Crouching Yeti est une menace impliquée dans plusieurs campagnes APT dont les origines remontent à 2010. La campagne est toujours active à ce jour.
Principaux secteurs ciblés :
Suite à une étude détaillée, il a été établi que le plus grand nombre de victimes identifiées appartient au secteur industriel/de fabrication de machines, ce qui illustre bien l’importance de ce secteur.
La menace Crouching Yeti s'est appuyée sur trois méthodes pour infecter les victimes, à savoir des e-mails de phishing ciblé utilisant des documents PDF intégrant une faille d'exploitation Adobe Flash (CVE-2011-0611)
Crouching Yeti n'est pas vraiment une campagne sophistiquée. Par exemple, les pirates n'ont utilisé aucune faille d'exploitation zero-day, mais uniquement des failles largement répandues sur Internet. Cela n'a pourtant pas empêché la campagne de passer inaperçue pendant plusieurs années.
Le nombre total de victimes connues dépasse les 2 800 dans le monde entier, parmi lesquelles les chercheurs de Kaspersky Lab ont pu identifier 101 organisations. Cette liste de victimes semble révéler l'intérêt du groupe Crouching Yeti pour des cibles stratégiques, mais également pour de nombreux autres établissements moins évidents.
Les experts de Kaspersky Lab sont convaincus qu'il risque d'y avoir des victimes collatérales mais il peut également être raisonnable de redéfinir la menace Crouching Yeti comme une campagne très ciblée dans un domaine très spécifique et comme une vaste campagne de surveillance avec des intérêts dans différents secteurs.
Le meilleur moyen de déterminer si vous avez été victime du programme malveillant Crouching Yeti consiste à identifier s'il y a eu intrusion. L'identification de la menace peut être réalisée à l'aide d'une solution antivirus performante telle que Kaspersky Anti-Virus.
Les produits Kaspersky Lab détecteront le programme malveillant impliqué dans la campagne Crouching Yeti grâce aux définitions de virus suivantes :