DÉFINITION DU VIRUS

Type de virus :  programme malveillant/menace persistante avancée (APT)

Qu’est-ce que c’est ?

Crouching Yeti est une menace impliquée dans plusieurs campagnes APT dont les origines remontent à 2010. La campagne est toujours active à ce jour.

Principaux secteurs ciblés :

  • Industriel/fabrication de machines
  • Production / Fabrication
  • Produits pharmaceutiques
  • Bâtiment
  • Enseignement
  • Informatique

Suite à une étude détaillée, il a été établi que le plus grand nombre de victimes identifiées appartient au secteur industriel/de fabrication de machines, ce qui illustre bien l’importance de ce secteur.

La menace Crouching Yeti s'est appuyée sur trois méthodes pour infecter les victimes, à savoir des  e-mails de phishing ciblé utilisant des documents PDF intégrant une faille d'exploitation Adobe Flash (CVE-2011-0611)

  • Des programmes d'installation de logiciels contenant des  chevaux de Troie
  • Des attaques de points d'eau utilisant différentes failles d'exploitation réutilisées

Informations relatives à la menace

Crouching Yeti n'est pas vraiment une campagne sophistiquée. Par exemple, les pirates n'ont utilisé aucune  faille d'exploitation zero-day, mais uniquement des failles largement répandues sur Internet. Cela n'a pourtant pas empêché la campagne de passer inaperçue pendant plusieurs années.

Le nombre total de victimes connues dépasse les 2 800 dans le monde entier, parmi lesquelles les chercheurs de Kaspersky Lab ont pu identifier 101 organisations. Cette liste de victimes semble révéler l'intérêt du groupe Crouching Yeti pour des cibles stratégiques, mais également pour de nombreux autres établissements moins évidents.

Les experts de Kaspersky Lab sont convaincus qu'il risque d'y avoir des victimes collatérales mais il peut également être raisonnable de redéfinir la menace Crouching Yeti comme une campagne très ciblée dans un domaine très spécifique et comme une vaste campagne de surveillance avec des intérêts dans différents secteurs.

Comment puis-je savoir si je suis infecté par le programme malveillant Crouching Yeti ?

Le meilleur moyen de déterminer si vous avez été victime du programme malveillant Crouching Yeti consiste à identifier s'il y a eu intrusion. L'identification de la menace peut être réalisée à l'aide d'une solution antivirus performante telle que  Kaspersky Anti-Virus.

Les produits Kaspersky Lab détecteront le programme malveillant impliqué dans la campagne Crouching Yeti grâce aux définitions de virus suivantes :

  • Trojan.Win32.Sysmain.xxx
  • Trojan.Win32.Havex.xxx
  • Trojan.Win32.ddex.xxx
  • Backdoor.MSIL.ClientX.xxx
  • Trojan.Win32.Karagany.xxx
  • Trojan-Spy.Win32.HavexOPC.xxx
  • Trojan-Spy.Win32.HavexNk2.xxx
  • Trojan-Dropper.Win32.HavexDrop.xxx
  • Trojan-Spy.Win32.HavexNetscan.xxx
  • Trojan-Spy.Win32.HavexSysinfo.xxx

Comment puis-je me protéger de Crouching Yeti ?

  • L'ensemble de vos logiciels doivent toujours être à jour. Les pirates du groupe Crouching Yeti n'ont utilisé aucune faille d'exploitation zero-day pour perpétrer leurs attaques. La majorité des infections auraient pu être évitées grâce à un logiciel tiers à jour.
  • Installez et assurez la mise à jour de votre solution de sécurité pour vous protéger des infections virales.
  • La formation joue un rôle majeur dans la sécurité, notamment en matière d'e-mails de phishing ciblé.