Tým GReAT (Global Research and Analysis Team) společnosti Kaspersky Lab objevil skupinu s názvem Poseidon, která je aktivní přinejmenším od roku 2005. Jde o vůbec první známou brazilskou portugalsky mluvící skupinu cílící na vládní a finanční instituce, telekomunikační, výrobní, energetické, mediální a PR společnosti. (TZ)
Skupina Poseidon je specifická tím, že je komerčním subjektem. Jeho útoky zahrnují na míru vytvořený malware, který je digitálně podepsaný falešným certifikátem určeným ke krádežím citlivých dat obětí. Program je navržený především pro anglická a brazilská zařízení se systémem Windows. Jednou z charakteristik skupiny je, že prozkoumává doménové podnikové sítě. Podle analýzy Kaspersky Lab používá Poseidon cílené phishingové e-maily s RTF nebo DOC přílohami. Po jejich otevření pronikne do cílového systému škodlivý binární kód. Dalším znakem skupiny je její jazyk – brazilská portugalština. Preferování portugalských systémů je přitom praxí, kterou bezpečnostní komunita doposud nezaznamenala.
Po nakažení malware zkontaktuje C&C servery. Při pohybu po síti pak využívá specializovaný nástroj, který automaticky sbírá širokou škálu dat včetně přihlašovacích údajů, firemních strategií pro správu skupin a systémových logů. Díky nim útočníci přesně zjistí, jaké aplikace a příkazy mohou použít, aniž by vzbudili pozornost administrátora sítě. Informace jsou následně využity ke zmanipulování oběti. Skupina Poseidon vystupuje jako konzultant bezpečnosti a vyžaduje uzavření kontraktu pod hrozbou zneužití zcizených dat. Analytici Kaspersky Lab identifikovali 35 společností z různých oborů, které byly primárními cíly útoků. Oběti napadení pocházely z následujících zemí: USA, Francie, Kazachstán, SAE, Indie
a Rusko. Hlavním místem šíření však je Brazílie, kde má mnoho napadených společné podniky nebo zde figurují jako partnerské společnosti.
„Skupina Poseidon operuje už řadu let nejen na zemi, ale i ve vzduchu nebo na moři. Některé z jejich C&C serverů byly nalezeny u poskytovatelů internetového připojení, kteří zajišťovali služby pro běžnou ale i lodní přepravu, a také poskytovali bezdrátové připojení,“ řekl Dmitry Bestuzhev, analytik týmu GReAT Kaspersky Lab. „Kromě toho jsme zjistili, že několik částí této strategie má jen krátkou životnost. To přispívá k tomu, že skupina mohla fungovat tak dlouho bez povšimnutí.“
Vzhledem k tomu, že Poseidon je aktivní nejméně deset let, jeho techniky prošly značným vývojem. To analytikům ztížilo práci. Nicméně díky shromážděným důkazům, rukopisu aktérů a rekonstrukci časových os potvrdili analytici Kaspersky Lab v polovině roku 2015, že předtím detekované, ale neidentifikované stopy ve skutečnosti patřily jednomu a tomu samému aktérovi – skupině Poseidon. Produkty Kaspersky Lab detekují a odstraňují veškeré známé verze komponent tohoto malwaru.
Kompletní zprávu o skupině Poseidon, včetně detailních popisů škodlivých nástrojů, statistik a IOC indikátorů najdete na webu Securelist.com. Jak se vyšetřují sofistikované cílené útoky, se můžete podívat v tomto videu. Více informací o kyberšpionážních operacích se dozvíte zde.
O společnosti Kaspersky Lab
Kaspersky Lab je jednou z nejrychleji rostoucích společností kybernetické bezpečnosti a největší, která je soukromě vlastněná. Společnost se řadí mezi čtyři největší prodejce IT bezpečnostních řešení pro uživatele koncových zařízení (IDC, 2014). Od roku 1997 je Kaspersky Lab inovátorem v oblasti kybernetické bezpečnosti a poskytuje efektivní digitální bezpečnostní řešení a znalosti velkým podnikům, malým a středním firmám i domácím uživatelům. Kaspersky Lab je mezinárodní společností působící v bezmála 200 zemích a oblastech po celém světě. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů. Více se dozvíte na www.kaspersky.cz.