Poseidon, cel mai periculos grup de spionaj cibernetic, demascat de Kaspersky Lab

Îţi place? Dă
şi

grupul-poseidon-gadgetreportExperţii de la Kaspersky Lab au anunțat demascarea Grupului Poseidon, un actor cu tehnici avansate în peisajul amenințărilor cibernetice, implicat în acțiuni de spionaj cibernetic cel puțin din anul 2005.

Grupul Poseidon a atacat cel puțin 35 de companii-victimă din Brazilia, Statele Unite, Franța, Kazakhstan, Emiratele Arabe Unite, India şi Rusia, principalele ținte fiind instituții financiare și guvernamentale, din telecomunicații, producție, domeniul energetic și alte companii de utilități, precum și companii media și de relații publice. Experții Kaspersky Lab au detectat, de asemenea, atacuri asupra unor companii de servicii de catering pentru manageri de top din corporații.

BANNER_gadget

“Grupul Poseidon se remarcă prin aceea că este o entitate comercială, ale cărei atacuri implică malware personalizat, gândit pentru a fura informații importante de la victime, astfel încât să le constrângă la o relație de afaceri. În plus, programul malware este creat pentru a funcționa în special pe dispozitive Windows în limbile engleză și portugheza din Brazilia, o premieră pentru un atac cu țintă predefinită”, afirmă cei de la Kaspersky.

Conform raportului de analiză Kaspersky Lab, Grupul Poseidon folosește în special email-uri de phishing cu documente RTC/DOC, de obicei cu o momeală umană, care infectează sistemul vizat atunci când sunt deschise. Un alt element-cheie sunt referirile în limba portugheză. Preferințele grupului pentru sistemele portugheze, după cum a reieșit din mostrele cercetate, este o practică nemaiîntâlnită până acum.

Odată infectat un computer, programul malware raportează serverelor de comandă și control înainte să înceapă o fază complexă de mișcări laterale. Această fază va declanșa, de regulă, un instrument specializat care colectează, automat, o gamă largă de informații, inclusiv credențiale, politici de group management și chiar logări ale sistemului, pentru a perfecționa atacuri viitoare și a asigura punerea în executare a programului malware. Procedând astfel, atacatorii știu ce aplicații și comenzi pot folosi fără să pună în alertă administratorul de rețea în timpul mișcărilor laterale și al extragerilor de date.

1693_Infographics_Poseidon_map-486x304

Informațiile colectate sunt apoi valorificate pentru a manipula companiile-victimă să contracteze grupul Poseidon pe post de consultant de securitate, sub amenințarea că vor folosi informațiile furate într-o serie de afaceri necurate, în beneficiul Poseidon.

1693_Infographics_Poseidon_pic-486x304“Grupul Poseidon este o echipă cu experiență îndelungată, care acționează pe toate căile: terestre, aeriene și maritime. O parte dintre centrele ei de comandă și control au fost găsite în IP-uri care furnizau servicii de Internet pe mare, prin conexiuni wireless și în mod tradițional”, a spus Dmitry Bestuzhev, Director, Global Research and Analysis Team, Kaspersky Lab America Latină. “În plus, mai multe implantări ale lor aveau o durată de viață foarte scurtă, ceea ce le-a permis să acționeze o perioadă îndelungată fără să fie descoperiți.”

În cel puțin zece ani de activitate, grupul Poseidon și-a schimbat tehnicile folosite, multor cercetători fiindu-le greu să coreleze indiciile ca aparținând unui singure entități. Cu toate acestea, după ce au strâns toate dovezile, reconstruind cronologia atacatorilor, experții Kaspersky Lab au putut să stabilească, până la mijlocul anului 2015, că urmele detectate anterior, dar neidentificate, aparțineau aceluiași actor din peisajul amenințărilor, Poseidon.

Scrie un comentariu