Kaspersky Lab odhalila sofistikovaný komerčný malware Poseidon
V kybernetických vodách sa objavila nová hrozba s názvom Poseidon Táto brazílska kampaň je aktívna viac než 10 rokov a vyniká tým, že vystupuje ako komerčný subjekt. Útoky sú zacielené na vládne, finančné inštitúcie, telekomunikačné, výrobné, energetické, mediálne či PR spoločnosti.
Tým GReAT (Global Research and Analysis Team) spoločnosti Kaspersky Lab objavil skupinu s názvom Poseidon, ktorá je aktívna prinajmenšom od roku 2005. Ide o vôbec prvú známu brazílsku portugalsky hovoriacu skupinu zacielenú na vládne a finančné inštitúcie, telekomunikačné, výrobné, energetické, mediálne a PR spoločnosti.
Skupina Poseidon je špecifická tým, že je komerčným subjektom. Jeho útoky zahrňujú na mieru vytvorený malware, ktorý je digitálne podpísaný falošným certifikátom určeným ku krádežiam citlivých dát obetí. Program je navrhnutý predovšetkým pre anglické a brazílske zariadenia so systémom Windows. Jedna z charakteristík skupiny je, že skúma doménové podnikové siete. Podľa analýzy Kaspersky Lab používa Poseidon cielené phishingové e-maily s RTF alebo DOC prílohami. Po ich otvorení prenikne do cieľového systému škodlivý binárny kód. Ďalším znakom skupiny je ich jazyk – brazilská portugalština. Preferovánie portugalských systémov je pritom praxou, ktorú bezpečnostná komunita doteraz nezaznamenala.
Po nakazení malware kontaktuje C&C servery. Pri pohybe po sieti potom využíva špecializovaný nástroj, ktorý automaticky zbiera širokú škálu dát vrátane prihlasovacích údajov, firemných stratégií pre správu skupín a systémových logov. Vďaka nim útočníci presne zistia, aké aplikácie a príkazy môžu použiť, bez toho aby vzbudili pozornosť administrátora siete. Informácie sú následne využité ku zmanipulovaniu obete. Skupina Poseidon vystupuje ako konzultant bezpečnosti a vyžaduje uzavretie kontraktu pod hrozbou zneužitia odcudzených dát. Analytici Kaspersky Lab identifikovali 35 spoločností z rôznych oborov, ktoré boli primárnymi cieľmi útokov. Napadnuté obete pochádzali z nasledujúcich zemí: USA, Francie, Kazachstán, SAE, Indie a Rusko. Hlavným miestom šírenia však je Brazília, kde má mnoho napadnutých spoločné podniky alebo tu figurujú ako partnerské spoločnosti.
"Skupina Poseidon operuje už niekoľko rokov nielen na zemi, ale aj vo vzduchu alebo na mori. Niektoré z ich C&C serverov boli nájdené u poskytovateľov internetového pripojenia, ktorí zaisťovali služby pre bežnú ale aj lodnú prepravu, a tiež poskytovali bezdrôtové pripojenie,“ povedal Dmitry Bestuzhev, analytik tímu GReAT Kaspersky Lab. „Okrem toho sme zistili, že niekoľko častí tejto stratégie má len krátku životnosť. To prispieva k tomu, že skupina mohla fungovať tak dlho bez povšimnutia.“
Vzhľadom k tomu, že Poseidon je aktívny najmenej desať rokov, ich techniky prešli značným vývojom. To analytikom sťažilo prácu. Avšak vďaka zhromaždeným dôkazom, rukopisu aktérov a rekonštrukcii časových os potvrdili analytici Kaspersky Lab v polovici roku 2015, že predtým detekované, ale neidentifikované stopy v skutočnosti patrili jednému a tomu istému aktérovi – skupine Poseidon. Produkty Kaspersky Lab detekujú a odstraňujú všetky známe verzie komponentov tohto malwaru.
Kompletnú správu o skupine Poseidon, vrátane detailných popisov škodlivých nástrojov, štatistík a IOC indikátorov nájdete na webe Securelist.com. Ako sa vyšetrujú sofistikované cielené útoky, si môžete pozrieť v tomto videu. Viac informácií o kyberšpionážnych operáciách sa dozviete tu.
Zdroj tlačovej správy: Kaspersky Lab, Grayling
