Az teszi kiemelkedővé a Poseidon csoportot, hogy valójában egy üzleti vállalkozás, amelynek támadásait hamis tanúsítványokkal aláírt egyedi malware-rel követik el, bizalmas adatokat lopnak áldozataiktól, belekényszerítve őket egy üzleti kapcsolatba. Ráadásul a malware-t úgy tervezték, hogy angol és brazil-portugál nyelvű Windows gépeken működjön, ami most tapasztalható először egy célzott támadásnál.
Legalább 35 áldozatul esett céget azonosítottak elsődleges célpontként, többek között pénzügyi és kormányzati intézményeket, távközlési, gyártó, energia és más közüzemi cégeket, valamint média és PR vállalatokat. A Kaspersky Lab szakértői ugyancsak észleltek támadásokat olyan szolgáltató cégeknél, amelyek vállalati felsővezetőket látnak el. Az alábbi országokban találtak áldozatokat:
- Egyesült Államok
- Franciaország
- Kazahsztán
- Egyesült Arab Emírségek
- India
- Oroszország
Azonban az áldozatok nagy része Brazíliában található, ahol sok áldozat csatlakozott a vállalkozáshoz vagy a partner műveletekhez.
A Poseidon csoport egyik jellemzője, hogy aktívan deríti fel a domain alapú vállalati hálózatokat. A Kaspersky Lab elemzése szerint a Poseidon csoport célzott adathalász e-maileket használ RTF/DOC fájl melléklettel, amely egy rosszindulatú bináris kóddal fertőzi meg a célszemély számítógépét, ha megnyitja azt. Egy másik fontos megállapítás a brazil-portugál karakterláncok jelenléte. Mint a mintákból kiderült, a csoport fő célpontjai a portugál nyelvű rendszerek, ez egy olyan gyakorlat, amelyet még nem tapasztaltak korábban.
Miután egy számítógép megfertőződött, a malware jelent a parancs és vezérlő szervereknek, mielőtt megkezd egy komplex, oldalirányú mozgást. Ez a művelet gyakran használ egy speciális eszközt, amely automatikusan és agresszívan szedi össze az információk széles körét – többek között bejelentkezési adatokat és rendszernaplókat –, hogy könnyebben szervezhessenek további támadásokat és biztosítsák a malware futását. Ezen információk révén a támadók ténylegesen tudni fogják, hogy milyen alkalmazásokat és parancsokat használhatnak anélkül, hogy riasztanák a hálózati rendszergazdát az oldalirányú mozgás és az adatlopás során.
Az összegyűjtött információt ezután az áldozatul esett vállalatok manipulálására használják, hogy szerződést kössenek a Poseidon csoporttal, mint biztonsági tanácsadóval, mert így elkerülhetik az ellopott adatok ellenük való felhasználását.
“A Poseidon csoport egy régóta fennálló szervezet, amely minden domainen működik: földön, vízen és levegőben. Néhány parancs és vezérlő szerverüket olyan IPS-eknél találták meg, amelyek internetszolgáltatást nyújtanak a tengeren tartózkodó hajóknak, de jelen vannak a vezeték nélküli kapcsolatot nyújtó, valamint a hagyományos telekommunikációs szolgáltatóknál is.” – mondta Dmitry Bestuzhev, a Kaspersky Lab Latin Amerika GReAT csapatának igazgatója. “Ráadásul sok implantátumról kiderült, hogy nagyon rövid az élettartamuk, ami hozzájárult ahhoz, hogy ez a csoport képes volt ilyen hosszú ideig működni anélkül, hogy észleltük volna.”
Mivel a Poseidon csoport legalább 10 éven keresztül aktív volt, fejlett technikák alakultak ki az implantátumok tervezéséhez, megnehezítve ezzel a biztonsági kutatók munkáját, hogy megtalálják az összefüggéseket és minden hiányzó részt összeillesszenek. Mindazonáltal az összes bizonyíték gondos összegyűjtésével és a támadó idővonalának rekonstruálásával a Kaspersky Lab szakértői képesek voltak 2015 közepére kideríteni, hogy a korábban észlelt, de azonosítatlan nyomok valójában ugyanahhoz a szereplőhöz, a Poseidon csoporthoz tartoztak.
A Kaspersky Lab termékei felismerik és eltávolítják a Poseidon csoport malware-einek összes ismert verzióját.
