16/02/2016

Domena Poseidona

Zagrożenia

Dawno minęły już czasy, gdy hakerzy tworzyli szkodliwe programy jedynie dla zabawy. Obecnie nie są to już zwykłe żarty, ale programy służące do zarabiania pieniędzy na konto tych, którzy je tworzą i infekują nimi komputery. Cyberprzestępczość to branża sama w sobie, w której są zarówno duzi, jak i mali gracze. Nasi eksperci z zespołu GReAT odkryli niedawno kolejnego gracza, którego nazwali ugrupowaniem Poseidon. Swoje badanie w związku z tą grupą zaprezentowali podczas wydarzenia Security Analyst Summit 2016.

poseidon-apt-FB

Podczas prezentacji badania w 2016 r. grupa była przedstawiana jako całkiem nowy gracz, chociaż okazało się, że jej kampanie były aktywne od 2005 roku. Pierwsza wykryta próbka jest datowana na rok 2001. Poseidon atakuje komputery jedynie z systemem Windows, począwszy od Windows 95 po Windows 8.1, jak również Windows Server 2012 w ostatnich wykrytych próbkach. Ugrupowanie wykazało się szczególnym zamiłowaniem do sieci opartych na domenach, które są typowe dla dużych firm i przedsiębiorstw.

Jak uderza Poseidon

Ataki zazwyczaj rozpoczynają się od wysłania wiadomości typu spear phishing, ukierunkowanej na poszczególną osobę. W takim przypadku, aby przekonać użytkownika do otwarcia szkodliwego listu, cyberprzestępcy zazwyczaj wykorzystują socjotechnikę.

Do infekcji dochodziło, gdy ofiara pobrała szkodliwy plik — zazwyczaj w postaci dokumentu w formacie DOC lub RTF, w którym osadzony był szkodliwy program. Co ciekawe, na zestaw narzędzi Poseidona reagowało wiele antywirusów, a on próbował się ukryć lub zaatakować je w ramach samoobrony.

Następnie zainstalowany na komputerze szkodliwy program nawiązywał połączenie z serwerem kontroli. Szukając sposobu na uzyskanie uprawnień dostępowych i mapując sieć w celu odnalezienia poszukiwanego komputera, atakujący gromadzili wiele danych. Zwykle poszukiwali serwera Windows Domain Control, a skupiali się głównie na kradzieży własności intelektualnej, tajemnic handlowych i innych ważnych danych komercyjnych.

Ataki te mają mocno spersonalizowany charakter. Chociaż początkowy etap jest zazwyczaj taki sam, kolejne wydarzenia były osobliwe i dostosowane do każdej ofiary — z tego powodu zespół GReAT zdecydował się nazwać Poseidona „butikiem specjalnie przygotowanych implantów szkodliwych programów”. To dlatego tak wiele czasu zajęło nam ułożenie puzzli w całość i odkrycie, że wszystkie te ataki, choć z pozoru odrębne, były przeprowadzane przez jedną grupę.

Informacja o gromadzeniu danych przez grupę Poseidon była zazwyczaj wykorzystana do szantażowania ofiar w celu przekonania ich do zatrudnienia Poseidona jako konsultanta bezpieczeństwa. Czasami taka zgoda powstrzymywała złoczyńców przed kontynuowaniem ataku lub rozpoczęciem nowego na tę samą firmę. Prawdopodobnie kampania nie jest sponsorowana przez kraj, gdyż Poseidon wykazywał zainteresowanie jedynie zbieraniem wartościowych danych firmowych. Uważamy, że informacje te były także często sprzedawane innym firmom, które wykazywały zainteresowanie i posiadały wystarczająco dużo pieniędzy, aby za nie zapłacić.

Wszystkie produkty firmy Kaspersky Lab rozpoznają zagrożenia Poseidon i wykrywają je jako asBackdoor.Win32.Nhopro, HEUR:Backdoor.Win32.Nhopro.gen lub HEUR:Hacktool.Win32.Nhopro.gen.

Poseidon jest wyjątkowy, bo jako pierwszy gracz na rynku APT najpierw atakował firmy posługujące się językiem portugalskim lub te, które posiadały spółki typu joint venture w Brazylii. Wśród ofiar znalazła się także Francja, Indie, Kazachstan, Rosja, Zjednoczone Emiraty Arabskie oraz Stany Zjednoczone.

Do chwili obecnej wiemy o co najmniej 35 ofiarach, wśród których znajdują się instytucje finansowe i rządowe, firmy energetyczne, telekomunikacyjne i produkcyjne, organizacje z branży mediów i PR. Ponieważ każdy atak grupy Poseidon był spersonalizowany i przeprowadzany potajemnie, trudno jest go odróżnić od innego szkodliwego programu. W związku z tym wg badaczy z zespołu GReAT istnieje jeszcze wiele ofiar, których w tym momencie nie można zidentyfikować.

Kaspersky Lab współpracuje z ofiarami aktywnej infekcji, zapewniając im swoją pomoc oraz oferując raporty wywiadowcze. Firma zneutralizowała kilka serwerów Command & Control, lecz ugrupowanie Poseidon często je zmienia, pozostając aktywnym.

Ta cyberkampania to dobry przykład na to, jak ważne jest stosowanie właściwych polityk bezpieczeństwa informacji oraz produktów zabezpieczających w dużych firmach. Zostańcie z nami, aby dowiedzieć się więcej o nowo odkrytym zagrożeniu APT — ponieważ podczas SAS 2016 poświęcimy temu zagadnieniu wiele uwagi.