Cégeket fenyegetnek
Legalább 35 áldozatul esett céget azonosítottak elsődleges célpontként, többek között pénzügyi és kormányzati intézményeket, távközlési, gyártó, energia és más közüzemi cégeket, valamint média és PR vállalatokat. A Kaspersky Lab szakértői ugyancsak észleltek támadásokat olyan szolgáltató cégeknél, amelyek vállalati felsővezetőket látnak el. Az alábbi országokban találtak áldozatokat:
1. Egyesült Államok
2. Franciaország
3. Kazahsztán
4. Egyesült Arab Emírségek
5. India
6. Oroszország
Azonban az áldozatok nagy része Brazíliában található, ahol sok áldozat csatlakozott a vállalkozáshoz vagy a partner műveletekhez.
Az adatokra fáj a foguk
A Poseidon csoport egyik jellemzője, hogy aktívan deríti fel a domain alapú vállalati hálózatokat. A Kaspersky Lab elemzése szerint a Poseidon csoport célzott adathalász e-maileket használ RTF/DOC fájl melléklettel, amely egy rosszindulatú bináris kóddal fertőzi meg a célszemély számítógépét, ha megnyitja azt. Egy másik fontos megállapítás a brazil-portugál karakterláncok jelenléte. Mint a mintákból kiderült, a csoport fő célpontjai a portugál nyelvű rendszerek, ez egy olyan gyakorlat, amelyet még nem tapasztaltak korábban.
Miután egy számítógép megfertőződött, a malware jelent a parancs és vezérlő szervereknek, mielőtt megkezd egy komplex, oldalirányú mozgást. Ez a művelet gyakran használ egy speciális eszközt, amely automatikusan és agresszívan szedi össze az információk széles körét – többek között bejelentkezési adatokat és rendszernaplókat –, hogy könnyebben szervezhessenek további támadásokat és biztosítsák a malware futását. Ezen információk révén a támadók ténylegesen tudni fogják, hogy milyen alkalmazásokat és parancsokat használhatnak anélkül, hogy riasztanák a hálózati rendszergazdát az oldalirányú mozgás és az adatlopás során.
Fenyegetik a cégeket
Az összegyűjtött információt ezután az áldozatul esett vállalatok manipulálására használják, hogy szerződést kössenek a Poseidon csoporttal, mint biztonsági tanácsadóval, mert így elkerülhetik az ellopott adatok ellenük való felhasználását.
“A Poseidon csoport egy régóta fennálló szervezet, amely minden domainen működik: földön, vízen és levegőben. Néhány parancs és vezérlő szerverüket olyan IPS-eknél találták meg, amelyek internetszolgáltatást nyújtanak a tengeren tartózkodó hajóknak, de jelen vannak a vezeték nélküli kapcsolatot nyújtó, valamint a hagyományos telekommunikációs szolgáltatóknál is.” – mondta Dmitry Bestuzhev, a Kaspersky Lab Latin Amerika GReAT csapatának igazgatója.
“Ráadásul sok implantátumról kiderült, hogy nagyon rövid az élettartamuk, ami hozzájárult ahhoz, hogy ez a csoport képes volt ilyen hosszú ideig működni anélkül, hogy észleltük volna.” – tette hozzá.
Régóta működnek
Mivel a Poseidon csoport legalább 10 éven keresztül aktív volt, fejlett technikák alakultak ki az implantátumok tervezéséhez, megnehezítve ezzel a biztonsági kutatók munkáját, hogy megtalálják az összefüggéseket és minden hiányzó részt összeillesszenek. Mindazonáltal az összes bizonyíték gondos összegyűjtésével és a támadó idővonalának rekonstruálásával a Kaspersky Lab szakértői képesek voltak 2015 közepére kideríteni, hogy a korábban észlelt, de azonosítatlan nyomok valójában ugyanahhoz a szereplőhöz, a Poseidon csoporthoz tartoztak.
A Kaspersky Lab termékei felismerik és eltávolítják a Poseidon csoport malware-einek összes ismert verzióját.
