SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
10 Фев 2016

Poseidon: бутик для киберпреступников

Времена, когда хакеры писали вирусы просто для развлечения, давно ушли. Сегодня вредоносные программы создаются совсем не для того, чтобы заставить ваш компьютер медленно работать, а чтобы обогатить злоумышленников.

Киберпреступность давно превратилась в серьезную индустрию, в которой имеются как крупные, так и мелкие игроки. Эксперты из центра исследований GReAT недавно обнаружили новую группировку, получившую название Poseidon, и рассказали о ней на Security Analyst Summit 2016.

Хотя отчет представлен только в 2016 году, кибергруппировка орудует уже давно. Вредоносные кампании, к которым, очевидно, приложили руку члены Poseidon, были обнаружены еще в 2005 году, а первый образец зловреда датируется 2001-м. Инструментарий Poseidon нацелен исключительно на компьютеры под Windows: от Windows 95, которой группировка занималась в начале «карьеры», до Windows 8.1 и Windows Server 2012, для которых и были созданы самые свежие из обнаруженных образцов зловреда. Группировка уделяет особое внимание доменным сетям, которые чаще всего применяются в крупных компаниях и на предприятиях.

Посейдон разящий

На начальном этапе атаки используется целевой фишинг, то есть, проще говоря, обычное мошенническое письмо с вредоносным вложением и написанным под вполне конкретных жертв текстом. В ходе целевых фишинговых кампаний злоумышленники охотно задействуют трюки из арсенала социальной инженерии, обманом вынуждая пользователя открыть письмо, содержащее вредоносный файл. Заражение компьютера происходит, как только жертва устанавливает зловред, внедренный в файл DOC или RTF. Что любопытно, Poseidon умеет обходить антивирусы или даже атаковать их.

Укоренившийся в инфицированном компьютере троянец устанавливает соединение с командным сервером злоумышленников. Получив доступ, преступники перемещаются по сети и собирают побольше разных данных для того, чтобы повысить привилегии, составить карту сети и выявить нужный им компьютер. Главной целью атаки обычно является контроллер локального домена Windows, захватив который злоумышленники могут похитить объекты интеллектуальной собственности, данные, составляющие коммерческую тайну, и другую ценную информацию.

Сценарий атаки старательно адаптируется в соответствии с особенностями жертвы. Несмотря на то что первоначальное заражение происходит по одному и тому же сценарию, последующие этапы кампании учитывают особенности, характерные для каждой новой жертвы. Именно поэтому специалисты GReAT решили назвать Poseidon «бутиком, производящим персонализированные зловреды» (custom-tailored malware boutique).

Из-за высокой степени персонализации экспертам пришлось очень долго собирать все кусочки пазла в единую картину: на первый взгляд казалось, что эти атаки совершенно не связаны между собой. Но на самом деле все инциденты были делом рук одной и той же скрытной группировки. Название Poseidon она получила из-за того, что авторам троянцев, если судить по их коду, очень нравится греческая мифология в целом и бог моря Посейдон в частности.

Информация, которую собирал для своих хозяев Poseidon, в большинстве случаев использовалась для шантажа. С его помощью члены банды пытались заставить жертву подписать с ними контракт на услуги по обеспечению информационной безопасности. Иногда даже заключенная сделка не останавливала преступников: они либо продолжали атаку, либо атаковали ту же компанию заново.

Маловероятно, что за деятельностью Poseidon стоят спецслужбы: злоумышленников интересовала исключительно коммерческая информация, а также интеллектуальная собственность и компромат на руководство компаний. Также есть все основания полагать, что украденные данные перепродавались на сторону всем, кто проявлял интерес и мог предложить подходящую цену.

Poseidon уникален тем, что является первым заметным игроком на APT-поле, нападающим помимо англоязычных еще и на португалоязычные компании или предприятия, соучредителями которых являются бразильские компании. Жертвы Poseidon также обнаружены во Франции, Индии, Казахстане, России, ОАЭ и США. Сама группировка, похоже, также имеет португалоязычные корни.

На данный момент известно по крайней мере о 35 пострадавших компаниях, в числе которых финансовые и правительственные организации, энергетические и производственные компании, СМИ и пиар-агентства. Большинство жертв являются крупными организациями, в основном международными. Поскольку атаку Poseidon достаточно трудно отличить от какой-то другой атаки в силу постоянно меняющегося подхода к взлому и неоспоримого умения злоумышленников оставаться незамеченными, исследователи GReAT предполагают, что жертв может быть намного больше.

Эксперты «Лаборатории Касперского» помогают представителям пострадавших организаций справиться с последствиями, консультируя их и предоставляя аналитические данные. Мы смогли при помощи метода sinkhole отследить несколько командных серверов, но злоумышленники часто меняют их, так что поймать преступников пока не удалось. Группировка остается активной по сей день. Деятельность Poseidon — это красноречивый пример того, насколько важно использовать надежные системы безопасности на крупных предприятиях.

Теги:
Poseidon утечка информации хакеры
Источник:
Kaspersky Daily
1490
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015