10 lutego 2016

Kaspersky Lab demaskuje ugrupowanie Poseidon: cybergang działający na lądzie, w powietrzu i na morzu

Globalny Zespół ds. Badań i Analiz z Kaspersky Lab poinformował o wykryciu ugrupowania Poseidon – zaawansowanej grupy cyberprzestępczej aktywnej w zakresie globalnych operacji cyberszpiegowskich od przynajmniej 2005 r. Ugrupowanie Poseidon wyróżnia fakt, że jest to podmiot komercyjny, którego ataki wykorzystują spersonalizowane szkodliwe oprogramowanie podpisane cyfrowo przy użyciu fałszywych certyfikatów, instalowane w celu kradzieży poufnych danych ofiar, aby zmusić je do relacji biznesowych. Cyberprzestępcze centra kontroli zostały zidentyfikowane nawet w infrastrukturze dostawców satelitarnych usług internetowych dla statków przebywających na morzu.



Zidentyfikowano co najmniej 35 firm, które padły ofiarą tej kampanii, a wśród głównych celów znajdowały się instytucje finansowe i rządowe, firmy telekomunikacyjne, produkcyjne, energetyczne, zakłady gospodarki komunalnej oraz organizacje z branży mediów i PR. Eksperci z Kaspersky Lab wykryli również ataki na firmy usługowe, które kierują swoją ofertę do dyrektorów najwyższego szczebla. Ofiary tego ugrupowania zostały zlokalizowane w następujących państwach:

  • Stany Zjednoczone,
  • Francja,
  • Kazachstan,
  • Zjednoczone Emiraty Arabskie,
  • Indie,
  • Rosja.
Jednak w rozkładzie ofiar dominuje Brazylia, gdzie wiele spośród nich posiada spółki typu joint venture lub partnerstwa.

Jedną z cech ugrupowania Poseidon jest aktywne wykorzystywanie sieci korporacyjnych opartych na domenie. Według analizy Kaspersky Lab, cyberprzestępcy wykorzystują wiadomości phishingowe zawierające pliki RTF/DOC, zwykle z przynętą nawiązującą do zasobów ludzkich. Po uruchomieniu takiego załącznika w systemie instalowany jest szkodliwy program. Innym kluczowym odkryciem jest obecność portugalskojęzycznych tekstów w wersji brazylijskiej. Preferowanie portugalskich systemów przez omawiane ugrupowanie, jak pokazują próbki, to coś, z czym eksperci z Kaspersky Lab spotkali się po raz pierwszy.


Po infekcji komputera szkodliwe oprogramowanie melduje się do serwerów kontroli, by następnie rozpocząć złożoną fazę działania. W fazie tej często wykorzystywane jest wyspecjalizowane narzędzie, które automatycznie i agresywnie gromadzi szeroką gamę informacji, w tym dane uwierzytelniające, grupowe polityki zarządzania, a nawet dzienniki systemu w celu udoskonalenia dalszych ataków i zapewnienia uruchomienia szkodliwego oprogramowania. Postępując w ten sposób, cyberprzestępcy wiedzą, jakich aplikacji i poleceń mogą używać bez wzbudzania podejrzeń administratora sieci podczas działania szkodliwego oprogramowania oraz wyprowadzania danych.

Zgromadzone informacje są następnie wykorzystywane przez firmę służącą jako przykrywka, aby nakłonić ofiary ataku do zaangażowania ugrupowania Poseidon w roli konsultanta w sprawach bezpieczeństwa pod groźbą wykorzystania skradzionych danych w serii podejrzanych transakcji biznesowych przynoszących korzyść atakującym.

"Ugrupowanie Poseidon to gang działający od wielu lat zarówno na lądzie, w powietrzu jak i na morzu. Niektóre z jego centrów kontroli zostały zidentyfikowane w infrastrukturze dostawców usług internetowych dla statków przebywających na morzu. Wykryliśmy także działania tej grupy u dostawców połączeń bezprzewodowych oraz tradycyjnych łączy internetowych" – powiedział Dmitrij Bestużew, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) na teren Ameryki Łacińskiej, Kaspersky Lab. "Ugrupowanie mogło pozostawać niewykryte przez długi czas m.in. dzięki temu, że stosowało szkodliwe oprogramowanie o bardzo krótkim okresie życia".

Jako że ugrupowanie Poseidon jest aktywne od co najmniej dziesięciu lat, techniki wykorzystywane do projektowania jego implantów ewoluowały, co utrudniło wielu badaczom połączenie wszystkich fragmentów układanki w jedną całość. Jednak zbierając pieczołowicie wszystkie dowody, analizując działania ugrupowania cyberprzestępczego i odtwarzając oś czasu atakujących, eksperci z Kaspersky Lab ustalili w połowie 2015 r., że wykryte wcześniej, ale niezidentyfikowane, ślady należały w rzeczywistości do tego samego gangu cyberprzestępczego – ugrupowania Poseidon.

Produkty firmy Kaspersky Lab wykrywają i usuwają wszystkie znane wersje komponentów ugrupowania Poseidon.

Pełny raport dotyczący ugrupowania Poseidon wraz ze szczegółowym opisem szkodliwych narzędzi i statystyk, łącznie z oznakami włamania, jest dostępny na stronie http://r.kaspersky.pl/hzkAx.

Więcej informacji o najbardziej zaawansowanych kampaniach cyberszpiegowskich badanych przez Kaspersky Lab znajduje się w kronice cyberataków ukierunkowanych: https://apt.securelist.com/pl.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.