Kaspersky Lab onthult Poseidon Group: een commerciële malware-shop, actief op land, zee en in de lucht

Utrecht, 9 februari 2016 – Kaspersky Labs Global Research & Analysis Team maakt de ontdekking bekend van de Poseidon Group. Deze geavanceerde dreigingsactor is ten minste sinds 2005 actief op het gebied van wereldwijde cyberspionage. Opvallend aan de Poseidon Group is dat het een commerciële entiteit betreft. Aanvallen door de groep omvatten op maat gemaakte malware die digitaal is ondertekend met malafide certificaten. Deze malware wordt ingezet om gevoelige gegevens van slachtoffers te stelen. De malware is bovendien ontworpen om specifiek te functioneren op Engelse en Braziliaans-Portugese Windows-machines, een primeur voor een gerichte aanval.

Ten minste 35 bedrijven zijn geïdentificeerd als primaire doelwitten, waaronder financiële en overheidsinstellingen, telecommunicatie, productie, energie en andere dienstverlenende nutsbedrijven, evenals bedrijven uit de sectoren media en public relations. Deskundigen van Kaspersky Lab hebben ook aanvallen gedetecteerd op dienstverlenende bedrijven die actief zijn ten behoeve van topmanagers uit het bedrijfsleven. Slachtoffers uit deze groep werden aangetroffen in de volgende landen:

· Verenigde Staten

· Brazilië

· Frankrijk

· Kazachstan

· Verenigde Arabische Emiraten

· India

· Rusland

De verspreiding van de slachtoffers laat echter een duidelijke voorkeur zien voor Brazilië, waar veel van de slachtoffers samenwerkingsverbanden of partneractiviteiten hebben. Dit wordt ook ondersteund door een andere belangrijke bevinding: de aanwezigheid van Braziliaans-Portugese tekst. De voorkeur voor Portugese systemen die de groep heeft, zoals blijkt uit de samples, is een praktijk die nog niet eerder is waargenomen.

Een van de kenmerken van de Poseidon Group is de actieve verkenning van bedrijfsnetwerken. Volgens een analyserapport van Kaspersky Lab stuurt de Poseidon Group spear-phishing e-mails met RTF/DOC-bestanden, meestal begeleid door een human resources lokkertje, waarna malware op het systeem wordt geïnstalleerd zodra op de mail wordt geklikt.

Nadat een computer is geïnfecteerd, rapporteert de malware aan de command & control-servers, waarna een geavanceerde verkenning van het netwerk wordt gestart. Deze fase zet vaak een gespecialiseerde tool in die automatisch en agressief een breed scala aan informatie verzamelt, inclusief persoonsgegevens, groepsbeheer-policies en zelfs logfiles, om zo verdere aanvallen te optimaliseren en zich te verzekeren dat de malware naar behoren zijn werk doet. Door dit te doen, weten de aanvallers in feite welke toepassingen en opdrachten zij kunnen gebruiken zonder de netwerkbeheerder te alarmeren tijdens de verkenning van het netwerk en exfiltratie van data.

De verzamelde informatie wordt vervolgens misbruikt door een nep-bedrijf dat slachtoffers manipuleert om, onder dreiging van het exploiteren van de gestolen informatie, een contract af te sluiten met ‘beveiligingsadviseur’ Poseidon Group, met als resultaat een aantal schimmige zakelijke deals in het voordeel van Poseidon.

“De Poseidon Group is een al langer bestaand team dat actief is op alle domeinen: land, lucht en zee. Een aantal van zijn command & control-servers zijn aangetroffen binnen ISP’s die internetdiensten aanbieden aan schepen op zee – draadloze verbindingen alsmede degenen binnen traditionele carriers”, aldus Dmitry Bestuzhev, Directeur van het Global Research & Analysis Team van Kaspersky Lab Latijns-Amerika. “Daarnaast bleken diverse van hun malware samples een zeer korte levensduur te hebben, wat heeft bijgedragen aan het feit dat deze groep zo lang actief kon zijn zonder te worden ontdekt.”

De Poseidon Group is ten minste tien jaar actief geweest, een periode waarin de gebruikte technieken voor het ontwerpen van de malware samples zijn geëvolueerd. Dit maakt het voor veel onderzoekers moeilijk om indicatoren te correleren en alle stukjes van de puzzel op hun plaats te laten vallen. Echter, door het zorgvuldig verzamelen van al het bewijsmateriaal, de data vervolgens te analyseren en het reconstrueren van de aanvallers tijdlijn, waren deskundigen van Kaspersky Lab in staat om medio 2015 al eerder gedetecteerde maar niet-geïdentificeerde sporen te detecteren die in feite toebehoorden aan de zelfde dreigingsactor, de Poseidon Group.

Kaspersky Labs producten detecteren en verwijderen alle bekende versies van Poseidon Group-componenten.

· Voor het volledige rapport, inclusief een gedetailleerde beschrijving van de schadelijke tools en statistieken, plus indicatoren van getroffen organisaties, verwijzen wij u graag naar Securelist.com.

· Meer over cyberspionage-activiteiten vindt u hier: https://apt.securelist.com/