Poseidon Malware Attacks
Securitate

Kaspersky Lab demasca grupul Poseidon – producator de malware

Poseidon Malware Attacks

Echipa de cercetare de la Kaspersky Lab, GReAT, a anuntat descoperirea grupului Poseidon, un actor cu tehnici avansate in peisajul amenintarilor cibernetice, implicat in actiuni de spionaj cibernetic cel putin din anul 2005. Grupul Poseidon se remarca prin aceea ca este o entitate comerciala, ale carei atacuri implica malware personalizat, gandit pentru a fura informatii importante de la victime, astfel incat sa le constranga la o relatie de afaceri. In plus, programul malware este creat pentru a functiona in special pe dispozitive Windows in limbile engleza si portugheza din Brazilia, o premiera pentru un atac cu tinta predefinita.

Au fost identificate cel putin 35 de companii-victima, principalele tinte fiind institutii financiare si guvernamentale, din telecomunicatii, productie, domeniul energetic si alte companii de utilitati, precum si companii media si de relatii publice. Expertii Kaspersky Lab au detectat, de asemenea, atacuri asupra unor companii de servicii de catering pentru manageri de top din corporatii. Au fost descoperite victime ale acestui grup in urmatoarele tari:

• Statele Unite
• Franta
• Kazakhstan
• Emiratele Arabe Unite
• India
• Rusia

Totusi, raspandirea victimelor este puternic inclinata catre Brazilia, unde multe dintre acestea au parteneri de afaceri sau sunt implicate in joint ventures.

Poseidon Malware Attacks

Conform raportului de analiza Kaspersky Lab, grupul Poseidon foloseste in special email-uri de phishing cu documente RTC/DOC, de obicei cu o momeala umana, care infecteaza sistemul vizat atunci cand sunt deschise. Un alt element-cheie sunt referirile in limba portugheza. Preferintele grupului pentru sistemele portugheze, dupa cum a reiesit din mostrele cercetate, este o practica nemaiintalnita pana acum.

Odata infectat un computer, programul malware raporteaza serverelor de comanda si control inainte sa inceapa o faza complexa de miscari laterale. Aceasta faza va declansa, de regula, un instrument specializat care colecteaza, automat, o gama larga de informatii, inclusiv credentiale, politici de group management si chiar logari ale sistemului, pentru a perfectiona atacuri viitoare si a asigura punerea in executare a programului malware. Procedand astfel, atacatorii stiu ce aplicatii si comenzi pot folosi fara sa puna in alerta administratorul de retea in timpul miscarilor laterale si al extragerilor de date.

Informatiile colectate sunt apoi valorificate pentru a manipula companiile-victima sa contracteze grupul Poseidon pe post de consultant de securitate, sub amenintarea ca vor folosi informatiile furate intr-o serie de afaceri necurate, in beneficiul Poseidon.

“Grupul Poseidon este o echipa cu experienta indelungata, care actioneaza pe toate caile: terestre, aeriene si maritime. O parte dintre centrele ei de comanda si control au fost gasite in IP-uri care furnizau servicii de Internet pe mare, prin conexiuni wireless si in mod traditional”, a spus Dmitry Bestuzhev, Director, Global Research and Analysis Team, Kaspersky Lab America Latina. “In plus, mai multe implantari ale lor aveau o durata de viata foarte scurta, ceea ce le-a permis sa actioneze o perioada indelungata fara sa fie descoperiti.”

In cel putin zece ani de activitate, grupul Poseidon si-a schimbat tehnicile folosite, multor cercetatori fiindu-le greu sa coreleze indiciile ca apartinand unui singure entitati. Cu toate acestea, dupa ce au strans toate dovezile, reconstruind cronologia atacatorilor, expertii Kaspersky Lab au putut sa stabileasca, pana la mijlocul anului 2015, ca urmele detectate anterior, dar neidentificate, apartineau aceluiasi actor din peisajul amenintarilor, Poseidon.

Produsele Kaspersky Lab detecteaza si inlatura toate versiunile cunoscute de atacuri ale grupului Poseidon.