Računari i Galaksija

Kaspersky Lab otkrio hakersku grupu Poseidon

Prva javno poznata kampanja sajber špijunaže sa brazilskog i portugalskog govornog područja targetira finansijske institucije, kao i telekomunikacione, proizvodne, energetske i medijske kompanije

Infographics_Poseidon_map

Tim za globalno istraživanje i analizu kompanije Kaspersky Lab objavio je da je detektovao grupu Poseidon koja predstavlja naprednu pretnju u svetu sajber špijunaže već najmanje deset godina. Grupa Poseidon se ističe po tome što predstavlja komercijalni entitet čiji napadi podrazumevaju korišćenje malicioznog programa sa digitalnim potpisima sa lažnim sertifikatima koji imaju za cilj da ukradu osetljive podatke od žrtava kako bi ih primorali na saradnju. Pored toga, maliciozni program je specijalno dizajniran da funkcioniše samo na Windows platformi na engleskom i brazilskom portugalskom jeziku, što je prvi takav slučaj kod ciljanih napada.

Najmanje 35 kompanija identifikovane su kao primarne mete ciljanih napada, uključujući finansijske i državne institucije, telekomunikacijske, proizvodne, energetske i druge uslužne kompanije, kao i medijske kuće i agencije za odnose sa javnošću. Stručnjaci kompanije Kaspersky Lab takođe su detektovali napade na kompanije koje pružaju usluge korporativnim menadžerima na visokim pozicijama. Mete napada grupe Poseidon bile su kompanije iz sledećih zemalja:

  • Sjedinjene Američke Države
  • Francuska
  • Kazahstan
  • Ujedinjeni Arapski Emirati
  • Indija
  • Rusija

Međutim, rasprostranjenost žrtava primetno se usmerava ka Brazilu, gde mnoge žrtve imaju zajednička ulaganja ili partnerske operacije.

Jedna od karakteristika grupe Poseidon jeste aktivno istraživanje korporativnih mreža koje su deo centralizovanog administrativnog sistema. Prema izveštaju analitičara kompanije Kaspersky Lab, grupa Poseidon oslanja se na phishing e-mailove sa RTF/DOC datotekama, koji su kreirani tako da izgledaju kao e-mail poruke iz sektora ljudskih resursa. Kada korisnik klikne na zaraženi dokument, malicionzi binarni kod se instalira na računar žrtve. Još jedno ključno otkriće jeste prisustvo veze sa brazilskim portugalskim jezikom. Napadi grupe Poseidon bili su fokusirani na portugalske sisteme, što predstavlja slučaj koji do sada nije bio zabeležen.

Kada računar postane zaražen, maliciozni program šalje izveštaje komandnim i kontrolnim serverima pre nego što započne složenu fazu prikrivenog napada. U ovoj fazi često se koristi specijalizovani instrument koji automatski i agresivno prikuplja čitav niz informacija, uključujući akreditive, politiku upravljanja grupom, pa čak i sisteme evidencije, kako bi usavršili dalje napade i bili sigurni u izvršenje malicioznog programa. Na taj način, napadači obično znaju koje aplikacije i komande mogu da koriste, a da tom prilikom ne uzbune administratora mreže tokom napada i krađe informacija.

Prikupljene informacije se potom koriste kako bi se manipulisalo žrtvama da potpišu saradnju sa grupom Poseidon kao konsultantom za bezbednost pod pretnjom da će ukradene informacije biti iskorišćene u brojnim sumnjivim poslovima od kojih će grupa Poseidon imati koristi.

„Grupa Poseidon predstavlja tim koji dugo radi zajedno i koji sprovodi napade na kopnu, vodi i u vazduhu. Neki od njihovih komandnih i kontrolnih centara pronađeni su unutar provajdera koji obezbeđuju internet signal brodovima tokom plovidbe, zatim u bežičnim konekcijama, kao i kod tradicionalnih prenosnika”, izjavio je Dmitry Bestuzhev, direktor globalnog tima za istraživanje i analizu u kompaniji Kaspersky Lab u Latinskoj Americi. „Pored toga, kod nekoliko nađenih implanata primećeno je da imaju veoma kratak životni vek, što je pomoglo grupi Poseidon da toliko dugo „posluje“ a da ne bude otkrivena”.

Budući da je grupa Poseidon aktivna najmanje deset godina, tehnike koje koriste pri dizajniranju svojih implanata su napredovale, što mnogim stručnjacima otežava da dovedu u vezu različite indikatore i sklope celokupnu sliku o ovoj hakerskoj grupi. Međutim, pažljivim prikupljanjem podataka, tumačenjem stila ovih napadača i vremenskom rekonstrukcijom, stručnjaci kompanije Kaspersky Lab uspeli su sredinom 2015. godine da utvrde da tragovi koji su prethodno bili detektovani ali nisu identifikovani zapravo pripadaju istom napadaču – grupi Poseidon.

Proizvodi kompanije Kasperski Lab detektuju i uklanjaju sve poznate verzije malvera koji koristi hakerska grupa Poseidon.

Izvor: Kaspersky Lab

Facebook komentari:
SBB

Tagovi: ,