Kaspersky Lab demască grupul Poseidon, producător de malware pentru companii

Economica.net
10 02. 2016
1693_infographics_poseidon_pic_51326800

Echipa de cercetare de la Kaspersky Lab, GReAT (Global Research and Analysis Team), a anuntat descoperirea grupului Poseidon, un actor cu tehnici avansate in peisajul amenintarilor cibernetice, implicat in actiuni de spionaj cibernetic cel putin din anul 2005. Grupul Poseidon se remarca prin aceea ca este o entitate comerciala, ale carei atacuri implica malware personalizat, gandit pentru a fura informatii importante de la victime, astfel incat sa le constranga la o relatie de afaceri. In plus, programul malware este creat pentru a functiona in special pe dispozitive Windows in limbile engleza si portugheza din Brazilia, o premiera pentru un atac cu tinta predefinita.

Au fost identificate cel putin 35 de companii-victima, principalele tinte fiind institutii financiare si guvernamentale, din telecomunicatii, productie, domeniul energetic si alte companii de utilitati, precum si companii media si de relatii publice. Expertii Kaspersky Lab au detectat, de asemenea, atacuri asupra unor companii de servicii de catering pentru manageri de top din corporatii. Au fost descoperite victime ale acestui grup in urmatoarele tari:

• Statele Unite
• Franta
• Kazakhstan
• Emiratele Arabe Unite
• India
• Rusia

Totusi, raspandirea victimelor este puternic inclinata catre Brazilia, unde multe dintre acestea au parteneri de afaceri sau sunt implicate in joint ventures.

Conform raportului de analiza Kaspersky Lab, grupul Poseidon foloseste in special email-uri de phishing cu documente RTC/DOC, de obicei cu o momeala umana, care infecteaza sistemul vizat atunci cand sunt deschise. Un alt element-cheie sunt referirile in limba portugheza. Preferintele grupului pentru sistemele portugheze, dupa cum a reiesit din mostrele cercetate, este o practica nemaiintalnita pana acum.

Odata infectat un computer, programul malware raporteaza serverelor de comanda si control inainte sa inceapa o faza complexa de miscari laterale. Aceasta faza va declansa, de regula, un instrument specializat care colecteaza, automat, o gama larga de informatii, inclusiv credentiale, politici de group management si chiar logari ale sistemului, pentru a perfectiona atacuri viitoare si a asigura punerea in executare a programului malware. Procedand astfel, atacatorii stiu ce aplicatii si comenzi pot folosi fara sa puna in alerta administratorul de retea in timpul miscarilor laterale si al extragerilor de date.

Informatiile colectate sunt apoi valorificate pentru a manipula companiile-victima sa contracteze grupul Poseidon pe post de consultant de securitate, sub amenintarea ca vor folosi informatiile furate intr-o serie de afaceri necurate, in beneficiul Poseidon.

“Grupul Poseidon este o echipa cu experienta indelungata, care actioneaza pe toate caile: terestre, aeriene si maritime. O parte dintre centrele ei de comanda si control au fost gasite in IP-uri care furnizau servicii de Internet pe mare, prin conexiuni wireless si in mod traditional”, a spus Dmitry Bestuzhev, Director, Global Research and Analysis Team, Kaspersky Lab America Latina. “In plus, mai multe implantari ale lor aveau o durata de viata foarte scurta, ceea ce le-a permis sa actioneze o perioada indelungata fara sa fie descoperiti.”

 

In cel putin zece ani de activitate, grupul Poseidon si-a schimbat tehnicile folosite, multor cercetatori fiindu-le greu sa coreleze indiciile ca apartinand unui singure entitati. Cu toate acestea, dupa ce au strans toate dovezile, reconstruind cronologia atacatorilor, expertii Kaspersky Lab au putut sa stabileasca, pana la mijlocul anului 2015, ca urmele detectate anterior, dar neidentificate, apartineau aceluiasi actor din peisajul amenintarilor, Poseidon.

Produsele Kaspersky Lab detecteaza si inlatura toate versiunile cunoscute de atacuri ale grupului Poseidon.

Pentru raportul integral despre grupul Poseidon, accesati Securelist.com.

Aici puteti afla cum sunt investigate atacuri complexe cu tinta predefinita:

Mai multe informatii despre operatiuni de spionaj cibernetic sunt disponibile aici: https://apt.securelist.com/.

Kaspersky Lab este una dintre companiile de solutii de securitate cu cea mai rapida crestere si cel mai mare producator privat de solutii de securitate endpoint din lume, fiind inclus in topul primilor patru producatori de solutii pentru protectie endpoint la nivel mondial (IDC, 2014). Din anul 1997, Kaspersky Lab a ramas o companie inovatoare in domeniul securitatii informatice, care ofera solutii digitale eficiente si expertiza in domeniul amenintarilor IT pentru utilizatori individuali, IMM-uri si companii mari. Kaspersky Lab este o companie multinationala, cu o prezenta in aproximativ 200 de tari, unde protejeaza peste 400 de milioane de utilizatori din intreaga lume. Pentru mai multe informatii, vizitati www.kaspersky.ro.