Die Experten von Kaspersky Lab enttarnen die Poseidon-Gruppe, ein fortschrittlicher Bedrohungsakteur, der mindestens seit dem Jahr 2005 Cyberspionage-Operationen weltweit betreibt
Die Experten von Kaspersky Lab enttarnen die Poseidon-Gruppe, ein fortschrittlicher Bedrohungsakteur, der mindestens seit dem Jahr 2005 Cyberspionage-Operationen weltweit betreibt [1]. Bei Poseidon handelt sich um eine kommerziell agierende Gruppe, die über maßgeschneiderte und mit gefälschten Zertifikaten signierte Malware an vertrauliche Daten ihrer Opfer gelangt und diese damit erpresst, eine Geschäftsbeziehung mit den Angreifern einzugehen. Die Malware ist auf Windows-Installationen in den Sprachen Englisch und brasilianisches Portugiesisch zugeschnitten, ein Novum in der Geschichte der Cyberattacken.
Unter den mindestens 35 Opfern der Poseidon-Gruppe befinden sich vor allem Unternehmen aus der Finanzbranche und staatliche Einrichtungen, aber auch die Branchen Telekommunikation, verarbeitende Industrie, Energie und andere Infrastrukturbereiche, Medien sowie PR-Agenturen. Zudem haben die Experten von Kaspersky Lab herausgefunden, dass auch Anbieter von Dienstleistungen für Top-Führungskräfte aus der Wirtschaft zu den Opfern zählen, und zwar in den Ländern USA, Frankreich, Kasachstan, Vereinigte Arabische Emirate, Indien und Russland. Der Schwerpunkt liegt aber eindeutig auf Brasilien, wobei viele der Opfer Joint Ventures oder Partnerfirmen haben [2].
So operiert die Poseidon-Gruppe
Charakteristisch für das Vorgehen der Poseidon-Gruppe ist das aktive Ausspähen von Domain-basierten Unternehmensnetzwerken. Wie die Analyse von Kaspersky Lab zeigt, operiert die Poseidon-Gruppe mit Spear-Phishing-E-Mails, die Dateien in den Formaten RTF und DOC enthalten. Durch deren Anklicken wird gefährlicher Binärcode in die Systeme der Opfer geschleust.
Nach der Infektion tritt die Schadsoftware mit Command-and-Control-Servern (C&C) in Kontakt und beginnt sich im Netzwerk des Opfers ‚umzusehen‘. Oftmals wird dabei ein spezialisiertes Tool verwendet, das automatisch ein breites Spektrum an Informationen sammelt, darunter auch Zugangsdaten, Group-Management-Richtlinien oder Systemprotokolle. Zukünftige Angriffe lassen sich so optimieren und die Ausführbarkeit der Malware wird sichergestellt. Die Angreifer wissen dadurch genau, welche Anwendungsprogramme und Kommandos benutzt werden können, um keinen Alarm während des Ausspähens und des Datendiebstahls zu verursachen.
Mit den gesammelten Daten im Hintergrund tritt dann eine Art Front Office der Poseidon-Gruppe mit den Opferunternehmen in Kontakt und zwingt sie, diese als Sicherheitsberater zu engagieren. Ansonsten würden die Daten für eine Reihe von unlauteren Geschäften zu Gunsten der Poseidon-Gruppe verwendet.
„Die Poseidon-Gruppe ist schon lange in allen Bereichen aktiv, zu Lande, zu Wasser und in der Luft“, sagt Dmitry Bestuzhev, Director Global Research and Analysis Team Latin America bei Kaspersky Lab. „So wurden Command-and-Control-Zentren auch bei Internet Service Providern gefunden, die Dienstleistungen für die Seefahrt anbieten, auf die mobil und klassisch zugegriffen wird. Einige der Implantate hatten zudem eine ausgesprochen kurze Lebensdauer. Dadurch konnte die Gruppe so lange unentdeckt operieren.“
Da die Poseidon Group seit mindestens zehn Jahren aktiv ist, wurden die Techniken für das Design ihrer Implantate immer wieder angepasst. Das erschwerte die Arbeit der Sicherheitsexperten, die Indizien richtig zuzuordnen und die Bruchstücke zusammenzufügen. Nach sorgfältigem Sammeln aller Erscheinungsformen und unter Berücksichtigung der besonderen Handschrift sowie der Zeitleiste der Angriffe, konnten die Experten von Kaspersky Lab Mitte 2015 den Nachweis erbringen, dass bislang nicht zuzuordnende Spuren tatsächlich zu ein und demselben Cyberaggressor, der Poseidon-Gruppe, gehören.
Die Sicherheitslösungen von Kaspersky Lab erkennen und entfernen alle bekannten Malware-Komponenten der Poseidon Group.
Ein ausführliche Bericht von Kaspersky Lab zur Poseidon Group erklärt die Malware, bringt Statistiken und nennt die Kompromittierungsindikatoren: https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/
Wie komplexe gezielte Attacken untersucht werden, zeigt das Video http://www.youtube.com/watch?v=FzPYGRO9LsA
[2]http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_Infographics_Poseidon_Map.png und http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_Infographics_how.png
Nützliche Links:
- Analyse von Kaspersky Lab zur Poseidon Group: https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/
- Video von Kaspersky Lab “Hunting the Hunters”: http://www.youtube.com/watch?v=FzPYGRO9LsA