Poseidon Group: Μια «εμπορική» επιχείρηση malware με πολυδαίδαλη δράση

poseidon_attack

Πρώτη φορά αποκαλύπτεται μια μαζική εκστρατεία ψηφιακής κατασκοπίας με βασική γλώσσα τα Πορτογαλικά Βραζιλίας και στόχο χρηματοπιστωτικά ιδρύματα, οργανισμούς τηλεπικοινωνιών, βιομηχανικές εταιρείες, παρόχους ενέργειας και Μέσα Μαζικής Ενημέρωσης

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab ανακοίνωσε την αποκάλυψη της ομάδας Poseidon Group, ενός προηγμένου απειλητικού παράγοντα, που διεξάγει παγκόσμιες επιχειρήσεις ψηφιακής κατασκοπίας τουλάχιστον από το 2005. Αυτό που καθιστά την ομάδα πίσω από το Poseidon Group ξεχωριστή είναι ότι αποτελεί μια «εμπορική» οντότητα, της οποίας οι επιθέσεις περιλαμβάνουν προσαρμοσμένα κακόβουλα προγράμματα, υπογεγραμμένα ψηφιακά με πλαστά πιστοποιητικά, τα οποία έχουν σχεδιαστεί με στόχο να υποκλέπτουν ευαίσθητα δεδομένα από τα θύματα, ώστε να τα εξαναγκάσουν στην ανάπτυξη οικονομικών σχέσεων. Επιπλέον, το κακόβουλο λογισμικό έχει σχεδιαστεί για να λειτουργεί ειδικά σε υπολογιστές με εγκατεστημένα Windows στα Αγγλικά και τα Πορτογαλικά Βραζιλίας, γεγονός που παρατηρείται για πρώτη φορά στα χρονικά των στοχευμένων επιθέσεων.

Τουλάχιστον 35 επιχειρήσεις-θύματα έχουν αναγνωριστεί, με τους κυριότερους στόχους να περιλαμβάνουν χρηματοπιστωτικούς και κυβερνητικούς οργανισμούς, παρόχους τηλεπικοινωνιών, βιομηχανικές εταιρείες, επιχειρήσεις ενέργειας και άλλες υπηρεσίες κοινής ωφέλειας, καθώς και Μέσα Μαζικής Ενημέρωσης και εταιρείες δημοσίων σχέσεων. Επίσης, οι ειδικοί της Kaspersky Lab έχουν εντοπίσει επιθέσεις σε εταιρείες παροχής υπηρεσιών που απευθύνονται σε κορυφαία στελέχη επιχειρήσεων. Θύματα αυτής της ομάδας έχουν εντοπιστεί στις παρακάτω χώρες:

  • ΗΠΑ
  • Γαλλία
  • Καζακστάν
  • Ηνωμένα Αραβικά Εμιράτα
  • Ινδία
  • Ρωσία

Ωστόσο, η διασπορά των θυμάτων φέρεται να καταλήγει προς τη Βραζιλία, όπου πολλά από τα θύματα έχουν συνάψει κοινοπραξίες ή έχουν επιχειρηματικές συνεργασίες.
Ένα από τα χαρακτηριστικά της ομάδας Poseidon Group είναι η ενεργή εξερεύνηση των domain-based εταιρικών δικτύων. Σύμφωνα με ανάλυση της Kaspersky Lab, η ομάδα Poseidon Group στηρίζει τη δράση της σε spear-phishing email με αρχεία RTF/DOC (χρησιμοποιώντας συνήθως ζητήματα ανθρώπινου δυναμικού ως δέλεαρ), τα οποία «απελευθερώνουν» έναν κακόβουλο δυαδικό κώδικα στο σύστημα του στόχου, μόλις αυτός δοκιμάσει να τα ανοίξει. Ένα άλλο σημαντικό εύρημα είναι η παρουσία της γλώσσας των Πορτογαλικών Βραζιλίας. Η προτίμηση της ομάδας στα Πορτογαλικά συστήματα, όπως προέκυψε από τα δείγματα, είναι μια πρακτική που δεν έχει παρατηρηθεί προηγουμένως.

poseidon_attack_1

Μόλις ένας υπολογιστής προσβληθεί, το κακόβουλο λογισμικό αναφέρεται στους command and control servers, πριν ξεκινήσει μια σύνθετη φάση «πλευρικής κίνησης». Σε αυτή τη φάση, αξιοποιείται συχνά ένα εξειδικευμένο εργαλείο που αυτόματα και επιθετικά συλλέγει ένα ευρύ φάσμα πληροφοριών, συμπεριλαμβανομένων των διαπιστευτηρίων, των πολιτικών διαχείρισης ομάδων, ακόμη και των αρχείων καταγραφής του συστήματος, ώστε να προετοιμάσει καλύτερα επιπλέον επιθέσεις και να εξασφαλίσει την εκτέλεση του κακόβουλου λογισμικού. Με τον τρόπο αυτό, οι επιτιθέμενοι γνωρίζουν πραγματικά τι εφαρμογές και εντολές μπορούν να χρησιμοποιήσουν, χωρίς να «σημάνει συναγερμός» για το διαχειριστή του δικτύου κατά τη διάρκεια των διαδικασιών «πλευρικής κίνησης» και εκδιήθησης δεδομένων.

Οι πληροφορίες που συγκεντρώνονται αξιοποιούνται στη συνέχεια από μια «επιχείρηση ασφάλειας», ώστε η τελευταία να πείσει τις εταιρείες-θύματα να προσλάβουν ως σύμβουλο ασφάλειας την ομάδα Poseidon Group, υπό την απειλή της εκμετάλλευσης των κλεμμένων πληροφοριών σε μια σειρά από ύποπτες επιχειρηματικές συμφωνίες προς όφελος της ομάδας PoseidonGroup.

Όπως δήλωσε ο Dmitry Bestuzhev, Διευθυντής της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab στη Λατινική Αμερική.

“Η ομάδα Poseidon Group έχει μακροχρόνια δράση σε πάρα πολλούς τομείς. Μερικά από τα κέντρα διοίκησης και ελέγχου της έχουν βρεθεί σε παρόχους σύνδεσης στο Διαδίκτυο, οι οποίοι προσφέρουν τις υπηρεσίες τους σε πλοία που βρίσκονται στη θάλασσα, ασύρματες συνδέσεις, καθώς και παραδοσιακούς μεταφορείς. Επιπλέον, πολλά από τα «εμφυτεύματα» που χρησιμοποιούν, έχουν πολύ μικρή διάρκεια ζωής, γεγονός που επέτρεψε στην ομάδα αυτή να λειτουργεί για πολύ μεγάλο χρονικό διάστημα, χωρίς να έχει εντοπιστεί”

Καθώς η ομάδα Poseidon Group είναι ενεργή εδώ και τουλάχιστον δέκα χρόνια, οι τεχνικές που χρησιμοποιούνταν για το σχεδιασμό των εμφυτευμάτων της έχουν εξελιχθεί, γεγονός που καθιστά δύσκολο για πολλούς ερευνητές να συσχετίσουν δείκτες και να «συμπληρώσουν το παζλ» της υπόθεσης. Ωστόσο, συλλέγοντας προσεκτικά όλα τα αποδεικτικά στοιχεία, μελετώντας τα «δείγματα γραφής» του απειλητικού παράγοντα και ανασυνθέτοντας το χρονοδιάγραμμα των επιτιθέμενων, οι ειδικοί της Kaspersky Lab κατάφεραν στα μέσα του 2015 να αποδείξουν ότι ίχνη που είχαν εντοπιστεί παλαιότερα, αλλά δεν είχαν αναγνωριστεί, στην πραγματικότητα ανήκαν στον ίδιο απειλητικό παράγοντα, στην ομάδα Poseidon Group.

 

This entry was posted in Internet, Misc and tagged . Bookmark the permalink.