Poseidon - cybergang działający na lądzie, w powietrzu i na morzu
Zespół Kaspersky Lab poinformował o wykryciu ugrupowania Poseidon – zaawansowanej grupy cyberprzestępczej aktywnej w zakresie globalnych operacji cyberszpiegowskich od przynajmniej 2005 r.
Ugrupowanie Poseidon wyróżnia fakt, że jest to podmiot komercyjny, którego ataki wykorzystują spersonalizowane szkodliwe oprogramowanie podpisane cyfrowo przy użyciu fałszywych certyfikatów, instalowane w celu kradzieży poufnych danych ofiar, aby zmusić je do relacji biznesowych. Cyberprzestępcze centra kontroli zostały zidentyfikowane nawet w infrastrukturze dostawców satelitarnych usług internetowych dla statków przebywających na morzu.
Zidentyfikowano co najmniej 35 firm, które padły ofiarą tej kampanii, a wśród głównych celów znajdowały się instytucje finansowe i rządowe, firmy telekomunikacyjne, produkcyjne, energetyczne, zakłady gospodarki komunalnej oraz organizacje z branży mediów i PR. Eksperci z Kaspersky Lab wykryli również ataki na firmy usługowe, które kierują swoją ofertę do dyrektorów najwyższego szczebla. Ofiary tego ugrupowania zostały zlokalizowane w USA, Francji, Kazachstanie, Zjednoczonych Emiratach Arabskich, Indiach i Rosji. Jednak w rozkładzie ofiar dominuje Brazylia, gdzie wiele spośród nich posiada spółki typu joint venture lub partnerstwa.
Jedną z cech ugrupowania Poseidon jest aktywne wykorzystywanie sieci korporacyjnych opartych na domenie. Według analizy Kaspersky Lab, cyberprzestępcy wykorzystują wiadomości phishingowe zawierające pliki RTF/DOC, zwykle z przynętą nawiązującą do zasobów ludzkich. Po uruchomieniu takiego załącznika w systemie instalowany jest szkodliwy program. Innym kluczowym odkryciem jest obecność portugalskojęzycznych tekstów w wersji brazylijskiej. Preferowanie portugalskich systemów przez omawiane ugrupowanie, jak pokazują próbki, to coś, z czym eksperci spotkali się po raz pierwszy.
Po infekcji komputera szkodliwe oprogramowanie melduje się do serwerów kontroli, by następnie rozpocząć złożoną fazę działania. W fazie tej często wykorzystywane jest wyspecjalizowane narzędzie, które automatycznie i agresywnie gromadzi szeroką gamę informacji, w tym dane uwierzytelniające, grupowe polityki zarządzania, a nawet dzienniki systemu w celu udoskonalenia dalszych ataków i zapewnienia uruchomienia szkodliwego oprogramowania. Postępując w ten sposób, cyberprzestępcy wiedzą, jakich aplikacji i poleceń mogą używać bez wzbudzania podejrzeń administratora sieci podczas działania szkodliwego oprogramowania oraz wyprowadzania danych.
Zgromadzone informacje są następnie wykorzystywane przez firmę służącą jako przykrywka, aby nakłonić ofiary ataku do zaangażowania ugrupowania Poseidon w roli konsultanta w sprawach bezpieczeństwa pod groźbą wykorzystania skradzionych danych w serii podejrzanych transakcji biznesowych przynoszących korzyść atakującym.
„Ugrupowanie Poseidon to gang działający od wielu lat zarówno na lądzie, w powietrzu jak i na morzu. Niektóre z jego centrów kontroli zostały zidentyfikowane w infrastrukturze dostawców usług internetowych dla statków przebywających na morzu. Wykryliśmy także działania tej grupy u dostawców połączeń bezprzewodowych oraz tradycyjnych łączy internetowych” – powiedział Dmitrij Bestużew, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) na teren Ameryki Łacińskiej, Kaspersky Lab. „Ugrupowanie mogło pozostawać niewykryte przez długi czas m.in. dzięki temu, że stosowało szkodliwe oprogramowanie o bardzo krótkim okresie życia”.
Jako że ugrupowanie Poseidon jest aktywne od co najmniej dziesięciu lat, techniki wykorzystywane do projektowania jego implantów ewoluowały, co utrudniło wielu badaczom połączenie wszystkich fragmentów układanki w jedną całość. Jednak zbierając pieczołowicie wszystkie dowody, analizując działania ugrupowania cyberprzestępczego i odtwarzając oś czasu atakujących, eksperci z Kaspersky Lab ustalili w połowie 2015 r., że wykryte wcześniej, ale niezidentyfikowane, ślady należały w rzeczywistości do tego samego gangu cyberprzestępczego – ugrupowania Poseidon.