09 февраля 2016

Poseidon: бутик-шпионаж на любой вкус

На саммите Security Analyst Summit 2016 эксперты из центра исследований GReAT представили исследование обнаруженной недавно APT-группировки, получившей название Poseidon. Несмотря на то что на радарах исследователей она возникла не так давно, злоумышленники орудуют еще с 2005 года, а первый образец зловреда был найден в 2001 году. Целью Poseidon являются коммерческие тайны и объекты интеллектуальной собственности. Зловред поражает компьютеры под Windows: от систем Windows 95 до Windows 8.1 и Windows Server 2001.


Традиционно атака Poseidon начинается целевой фишинговой рассылкой; как считают исследователи, электронные сообщения подделаны весьма искусно, а сами злоумышленники прибегают к различным ухищрениям вроде социальной инженерии, чтобы жертва открыла вредоносный файл — RAR-архив, мимикрирующий под документ формата .doc или .rtf. Зловред также имеет функции обхода антивируса и даже может атаковать его.

Затем зловред связывается с командным сервером и начинает собирать данные в компьютерах в сети жертвы, чтобы найти действительно стоящую внимания машину. Злоумышленники стремятся скомпрометировать контроллер локального домена, чтобы впоследствии украсть объекты интеллектуальной собственности, данные, составляющие коммерческую тайну, и другую ценную информацию.

Любопытно, что каждая атака группировки тщательно адаптируется в соответствии с особенностями жертвы. Именно поэтому выявление Poseidon заняло столько времени: эксперты не видели ничего общего в разрозненных инцидентах, которые в итоге оказались частью единой картины. Из-за подобной «кастомизации» атак специалисты GReAT решили назвать Poseidon «бутик-APT».

Есть сведения, что похищенные данные позже использовались для шантажа жертвы: в некоторых случаях хакеры пытались таким образом вынудить пострадавшую компанию нанять группировку в качестве подрядчика по обеспечению информационной безопасности. Впрочем, это не останавливало их, и они продолжали атаки даже против тех, кто уступил их требованиям. Кроме того, похищенная информация могла стать объектом торга и последующей продажи всем желающим.

Еще одной уникальной особенностью Poseidon является то, что это первая APT-группировка, атакующая главным образом португалоязычные компании или совместные предприятия, учрежденные бразильскими предпринимателями. Жертвами Poseidon также стали компании во Франции, Индии, Казахстане, России, ОАЭ и США — в общей сложности около 35 жертв. Но, учитывая уникальный подход группировки к каждой из своих жертв, а также ее умение оставаться незамеченной в течение долгого времени, пострадавших может быть гораздо больше.

Хотя специалисты «Лаборатории Касперского» смогли при помощи метода sinkhole выявить несколько командных серверов, злоумышленники часто меняют их, чтобы оставаться активными.

Poseidon: бутик-шпионаж на любой вкус | Threatpost | Новости информационной безопасности