Cybergang od 10 lat uderzał w firmy i instytucje rządowe

Poseidon prowadzi  globalne operacje cyberszpiegowskie od co najmniej 2005 r. Kaspersky Lab zwraca uwagę, że jest to podmiot komercyjny, którego ataki wykorzystują spersonalizowane szkodliwe oprogramowanie podpisane cyfrowo przy użyciu fałszywych certyfikatów. Instalowane jest ono w celu kradzieży poufnych danych ofiar, aby zmusić firmy do nawiązania relacji biznesowych. Cyberprzestępcze centra kontroli zostały wykryte nawet w infrastrukturze dostawców satelitarnych usług internetowych dla statków przebywających na morzu.

Co najmniej 35 firm padły ofiarą Poseidona, a wśród głównych celów znajdowały się instytucje finansowe i rządowe, firmy telekomunikacyjne, produkcyjne, energetyczne, zakłady gospodarki komunalnej oraz organizacje z branży mediów i PR. Eksperci z Kaspersky Lab wykryli również ataki na firmy usługowe, które kierują swoją ofertę do dyrektorów najwyższego szczebla. Ofiary tego ugrupowania zostały zlokalizowane w następujących w takich państwach, jak: USA, Francja, Kazachstan, Zjednoczone Emiraty Arabskie, Indie czy Rosja, choć ulubionym celem Poseidona była Brazylia, gdzie wiele korporacji posiada spółki typu joint venture lub partnerstwa.

Z analizy Kaspersky Lab wynika, że cyberprzestępcy wykorzystują wiadomości phishingowe zawierające pliki RTF/DOC, zwykle z przynętą zachęcającą do ich otworzenia. Po uruchomieniu takiego załącznika w systemie instalowany jest szkodliwy program.

Po infekcji komputera szkodliwe oprogramowanie melduje się do serwerów kontroli, by następnie rozpocząć złożoną fazę działania. W fazie tej często wykorzystywane jest wyspecjalizowane narzędzie, które automatycznie gromadzi szeroką gamę informacji, w tym dane uwierzytelniające, grupowe polityki zarządzania, a nawet dzienniki systemu w celu udoskonalenia dalszych ataków i zapewnienia uruchomienia szkodliwego oprogramowania. Postępując w ten sposób, cyberprzestępcy wiedzą, jakich aplikacji i poleceń mogą używać bez wzbudzania podejrzeń administratora sieci podczas działania szkodliwego oprogramowania oraz wyprowadzania danych.

Zgromadzone informacje są następnie wykorzystywane przez firmę służącą jako przykrywka, aby nakłonić ofiary ataku do zaangażowania ugrupowania Poseidon w roli konsultanta w sprawach bezpieczeństwa pod groźbą wykorzystania skradzionych danych do podejrzanych transakcji biznesowych przynoszących korzyść atakującym.

- Ugrupowanie Poseidon to gang działający od wielu lat zarówno na lądzie, w powietrzu jak i na morzu. Niektóre z jego centrów kontroli zostały zidentyfikowane w infrastrukturze dostawców usług internetowych dla statków przebywających na morzu. Wykryliśmy także działania tej grupy u dostawców połączeń bezprzewodowych oraz tradycyjnych łączy internetowych – mówi Dmitrij Bestużew, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) na teren Ameryki Łacińskiej w Kaspersky Lab. - Ugrupowanie mogło pozostawać niewykryte przez długi czas m.in. dzięki temu, że stosowało szkodliwe oprogramowanie o bardzo krótkim okresie życia - podkreśla szef GReAT.

Jako że ugrupowanie Poseidon jest aktywne od co najmniej dziesięciu lat, techniki wykorzystywane do projektowania jego implantów ewoluowały, co utrudniło wielu badaczom połączenie wszystkich fragmentów układanki w jedną całość. Jednak zbierając pieczołowicie wszystkie dowody, analizując działania ugrupowania cyberprzestępczego i odtwarzając oś czasu atakujących, eksperci z Kaspersky Lab ustalili w połowie 2015 r., że wykryte wcześniej, ale niezidentyfikowane, ślady należały w rzeczywistości do tego samego gangu cyberprzestępczego, tj. ugrupowania Poseidon.