В рамках саммита Security Analyst Summit специалисты «Лаборатории Касперского» представили еще один интересный доклад. Эксперты рассказали об обнаружении группы Poseidon, которая использует в работе одноименную малварь. Начиная с далекого 2005 года, Poseidon похищают конфиденциальные данные у компаний по всему миру. Затем хакеры шантажом заставляют своих жертв заключить с ними контракт на предоставление консалтинговых услуг по информационной безопасности.
Первые образцы связанной с Poseidon малвари были найдены еще в 2001 году. Первые атаки зафиксированы в 2005 году. Однако общую картину вредоносной деятельности группы сумели составить только недавно. Нельзя сказать, что все эти годы преступники оставались незамеченными. Эксперты обнаруживали новые образчики кастомной малвари хакеров, однако не связывали их воедино, не подозревая, что разные киберкампании, это дело рук одних и тех же авторов.
Мишенями Poseidon становятся самые разные организации: финансовые, телекоммуникационные, промышленные и энергетические компании, государственные учреждения, СМИ, PR-агентства и даже кейтеринговые службы, клиентами которых являются топ-менеджеры корпораций. Эксперты сообщили, что от рук хакеров пострадали как минимум 35 организаций в России, Казахстане, США, Франции, ОАЭ и Индии. Также атаки затронули и Бразилию, где у многих жертв есть партнеры или совместные предприятия. При этом сообщается, что сами хакеры используют в качестве основного языка бразильский вариант португальского.
Атаки Poseidon построены совсем не по шаблону, к каждой жертве группа находит свой подход. Как правило, все начинается с фишинговой почтовой рассылки. Письма составлены продуманно, с большим вниманием к деталям и с применением социальной инженерии. Через письма хакеры заражают жертв специально разработанным вредоносным ПО, которое подписано поддельными цифровыми сертификатами и умеет обходить антивирусы. Чаще всего малварь маскируется под документы .doc или .rtf.
Злоумышленники стремятся получить доступ к контроллеру локального домена. Если все прошло успешно, малварь собирает большое количество конфиденциальных данных организации, в том числе финансовых. Затем этот «компромат» используется в качестве инструмента шантажа. Фактически, пострадавших принуждают к сотрудничеству. Если сотрудничать компания-жертва отказывается, данные продают третьим лицам (к примеру, конкурентам).
«Эта кибергруппировка, остававшаяся неизвестной в течение многих лет, ищет жертв в самых разных отраслях. Например, мы обнаружили ряд командных серверов Poseidon в инфраструктуре интернет-провайдеров, обслуживающих морские суда, — рассказывает Дмитрий Бестужев, руководитель латиноамериканского исследовательского центра «Лаборатории Касперского». — Для сокрытия следов своей деятельности злоумышленники использовали целый ряд хитроумных инструментов, включая обнаруженные нами зловреды с очень коротким жизненным циклом».
С подробным отчетом можно ознакомиться здесь.
Фото: Depositphotos