Poseidon Group: Επιχείρηση malware με πολυδαίδαλη δράση

by George Polyzos • On 12-02-2016 • AT 1:16 pm • ΚΑΝΕΝΑ ΣΧΟΛΙΟ
Internet

cryptography

Η Kaspersky Lab ανακοίνωσε την αποκάλυψη της ομάδας Poseidon Group, ενός προηγμένου απειλητικού παράγοντα, που διεξάγει παγκόσμιες επιχειρήσεις ψηφιακής κατασκοπίας τουλάχιστον από το 2005.

Αυτό που καθιστά την ομάδα πίσω από το Poseidon Group ξεχωριστή είναι ότι αποτελεί μια «εμπορική» οντότητα, της οποίας οι επιθέσεις περιλαμβάνουν προσαρμοσμένα κακόβουλα προγράμματα, υπογεγραμμένα ψηφιακά με πλαστά πιστοποιητικά, τα οποία έχουν σχεδιαστεί με στόχο να υποκλέπτουν ευαίσθητα δεδομένα από τα θύματα, ώστε να τα εξαναγκάσουν στην ανάπτυξη οικονομικών σχέσεων.

Επιπλέον, το κακόβουλο λογισμικό έχει σχεδιαστεί για να λειτουργεί ειδικά σε υπολογιστές με εγκατεστημένα Windows στα Αγγλικά και τα Πορτογαλικά Βραζιλίας, γεγονός που παρατηρείται για πρώτη φορά στα χρονικά των στοχευμένων επιθέσεων.

Τουλάχιστον 35 επιχειρήσεις-θύματα έχουν αναγνωριστεί, με τους κυριότερους στόχους να περιλαμβάνουν χρηματοπιστωτικούς και κυβερνητικούς οργανισμούς, παρόχους τηλεπικοινωνιών, βιομηχανικές εταιρείες, επιχειρήσεις ενέργειας και άλλες υπηρεσίες κοινής ωφέλειας, καθώς και Μέσα Μαζικής Ενημέρωσης και εταιρείες δημοσίων σχέσεων.

Kaspersky Lab_Infographics_Poseidon

Επίσης, οι ειδικοί της Kaspersky Lab έχουν εντοπίσει επιθέσεις σε εταιρείες παροχής υπηρεσιών που απευθύνονται σε κορυφαία στελέχη επιχειρήσεων. Θύματα αυτής της ομάδας έχουν εντοπιστεί στις ΗΠΑ, Γαλλία, Καζακστάν, Ηνωμένα Αραβικά Εμιράτα, Ινδία, Ρωσία.

Ωστόσο, η διασπορά των θυμάτων φέρεται να καταλήγει προς τη Βραζιλία, όπου πολλά από τα θύματα έχουν συνάψει κοινοπραξίες ή έχουν επιχειρηματικές συνεργασίες.
Ένα από τα χαρακτηριστικά της ομάδας Poseidon Group είναι η ενεργή εξερεύνηση των domain-based εταιρικών δικτύων.

Σύμφωνα με ανάλυση της Kaspersky Lab, η ομάδα Poseidon Group στηρίζει τη δράση της σε spear-phishing email με αρχεία RTF/DOC (χρησιμοποιώντας συνήθως ζητήματα ανθρώπινου δυναμικού ως δέλεαρ), τα οποία «απελευθερώνουν» έναν κακόβουλο δυαδικό κώδικα στο σύστημα του στόχου, μόλις αυτός δοκιμάσει να τα ανοίξει. Ένα άλλο σημαντικό εύρημα είναι η παρουσία της γλώσσας των Πορτογαλικών Βραζιλίας. Η προτίμηση της ομάδας στα Πορτογαλικά συστήματα, όπως προέκυψε από τα δείγματα, είναι μια πρακτική που δεν έχει παρατηρηθεί προηγουμένως.

Μόλις ένας υπολογιστής προσβληθεί, το κακόβουλο λογισμικό αναφέρεται στους command and control servers, πριν ξεκινήσει μια σύνθετη φάση «πλευρικής κίνησης». Σε αυτή τη φάση, αξιοποιείται συχνά ένα εξειδικευμένο εργαλείο που αυτόματα και επιθετικά συλλέγει ένα ευρύ φάσμα πληροφοριών, συμπεριλαμβανομένων των διαπιστευτηρίων, των πολιτικών διαχείρισης ομάδων, ακόμη και των αρχείων καταγραφής του συστήματος, ώστε να προετοιμάσει καλύτερα επιπλέον επιθέσεις και να εξασφαλίσει την εκτέλεση του κακόβουλου λογισμικού.

Kaspersky Lab_Infographics_Poseidon_map

Με τον τρόπο αυτό, οι επιτιθέμενοι γνωρίζουν πραγματικά τι εφαρμογές και εντολές μπορούν να χρησιμοποιήσουν, χωρίς να «σημάνει συναγερμός» για το διαχειριστή του δικτύου κατά τη διάρκεια των διαδικασιών «πλευρικής κίνησης» και εκδιήθησης δεδομένων.

Οι πληροφορίες που συγκεντρώνονται αξιοποιούνται στη συνέχεια από μια «επιχείρηση ασφάλειας», ώστε η τελευταία να πείσει τις εταιρείες-θύματα να προσλάβουν ως σύμβουλο ασφάλειας την ομάδα Poseidon Group, υπό την απειλή της εκμετάλλευσης των κλεμμένων πληροφοριών σε μια σειρά από ύποπτες επιχειρηματικές συμφωνίες προς όφελος της ομάδας Poseidon Group.
Καθώς η ομάδα Poseidon Group είναι ενεργή εδώ και τουλάχιστον δέκα χρόνια, οι τεχνικές που χρησιμοποιούνταν για το σχεδιασμό των εμφυτευμάτων της έχουν εξελιχθεί, γεγονός που καθιστά δύσκολο για πολλούς ερευνητές να συσχετίσουν δείκτες και να «συμπληρώσουν το παζλ» της υπόθεσης.

Ωστόσο, συλλέγοντας προσεκτικά όλα τα αποδεικτικά στοιχεία, μελετώντας τα «δείγματα γραφής» του απειλητικού παράγοντα και ανασυνθέτοντας το χρονοδιάγραμμα των επιτιθέμενων, οι ειδικοί της Kaspersky Lab κατάφεραν στα μέσα του 2015 να αποδείξουν ότι ίχνη που είχαν εντοπιστεί παλαιότερα, αλλά δεν είχαν αναγνωριστεί, στην πραγματικότητα ανήκαν στον ίδιο απειλητικό παράγοντα, στην ομάδα Poseidon Group.

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

0 ΣΧΟΛΙΑ

Comments are closed.

Top

Show Buttons
Hide Buttons