Poseidon: бутик для киберпреступников

Новости Спецпроекты Угрозы

Времена, когда хакеры писали вирусы просто для развлечения, давно ушли. Сегодня вредоносные программы создаются совсем не для того, чтобы заставить ваш компьютер медленно работать, а чтобы обогатить злоумышленников. Киберпреступность давно превратилась в серьезную индустрию, в которой имеются как крупные, так и мелкие игроки. Эксперты из центра исследований GReAT недавно обнаружили новую группировку, получившую название Poseidon, и рассказали о ней на Security Analyst Summit 2016.
Сведения о Poseidon, APT-группировке особого назначения, раскрыты на #TheSAS2016

Хотя отчет представлен только в 2016 году, кибергруппировка орудует уже давно. Вредоносные кампании, к которым, очевидно, приложили руку члены Poseidon, были обнаружены еще в 2005 году, а первый образец зловреда датируется 2001-м. Инструментарий Poseidon нацелен исключительно на компьютеры под Windows: от Windows 95, которой группировка занималась в начале «карьеры», до Windows 8.1 и Windows Server 2012, для которых и были созданы самые свежие из обнаруженных образцов зловреда. Группировка уделяет особое внимание доменным сетям, которые чаще всего применяются в крупных компаниях и на предприятиях.

Сведения о Poseidon, APT-группировке особого назначения, раскрыты на #TheSAS2016

Посейдон разящий

На начальном этапе атаки используется целевой фишинг, то есть, проще говоря, обычное мошенническое письмо с вредоносным вложением и написанным под вполне конкретных жертв текстом. В ходе целевых фишинговых кампаний злоумышленники охотно задействуют трюки из арсенала социальной инженерии, обманом вынуждая пользователя открыть письмо, содержащее вредоносный файл.

Заражение компьютера происходит, как только жертва устанавливает зловред, внедренный в файл DOC или RTF. Что любопытно, Poseidon умеет обходить антивирусы или даже атаковать их.

Укоренившийся в инфицированном компьютере троянец устанавливает соединение с командным сервером злоумышленников. Получив доступ, преступники перемещаются по сети и собирают побольше разных данных для того, чтобы повысить привилегии, составить карту сети и выявить нужный им компьютер. Главной целью атаки обычно является контроллер локального домена Windows, захватив который злоумышленники могут похитить объекты интеллектуальной собственности, данные, составляющие коммерческую тайну, и другую ценную информацию.

Сценарий атаки старательно адаптируется в соответствии с особенностями жертвы. Несмотря на то что первоначальное заражение происходит по одному и тому же сценарию, последующие этапы кампании учитывают особенности, характерные для каждой новой жертвы. Именно поэтому специалисты GReAT решили назвать Poseidon «бутиком, производящим персонализированные зловреды» (custom-tailored malware boutique).

Из-за высокой степени персонализации экспертам пришлось очень долго собирать все кусочки пазла в единую картину: на первый взгляд казалось, что эти атаки совершенно не связаны между собой. Но на самом деле все инциденты были делом рук одной и той же скрытной группировки. Название Poseidon она получила из-за того, что авторам троянцев, если судить по их коду, очень нравится греческая мифология в целом и бог моря Посейдон в частности.

Информация, которую собирал для своих хозяев Poseidon, в большинстве случаев использовалась для шантажа. С его помощью члены банды пытались заставить жертву подписать с ними контракт на услуги по обеспечению информационной безопасности. Иногда даже заключенная сделка не останавливала преступников: они либо продолжали атаку, либо атаковали ту же компанию заново.

Маловероятно, что за деятельностью Poseidon стоят спецслужбы: злоумышленников интересовала исключительно коммерческая информация, а также интеллектуальная собственность и компромат на руководство компаний. Также есть все основания полагать, что украденные данные перепродавались на сторону всем, кто проявлял интерес и мог предложить подходящую цену.

Poseidon уникален тем, что является первым заметным игроком на APT-поле, нападающим помимо англоязычных еще и на португалоязычные компании или предприятия, соучредителями которых являются бразильские компании. Жертвы Poseidon также обнаружены во Франции, Индии, Казахстане, России, ОАЭ и США. Сама группировка, похоже, также имеет португалоязычные корни.

На данный момент известно по крайней мере о 35 пострадавших компаниях, в числе которых финансовые и правительственные организации, энергетические и производственные компании, СМИ и пиар-агентства. Большинство жертв являются крупными организациями, в основном международными. Поскольку атаку Poseidon достаточно трудно отличить от какой-то другой атаки в силу постоянно меняющегося подхода к взлому и неоспоримого умения злоумышленников оставаться незамеченными, исследователи GReAT предполагают, что жертв может быть намного больше.

Эксперты «Лаборатории Касперского» помогают представителям пострадавших организаций справиться с последствиями, консультируя их и предоставляя аналитические данные. Мы смогли при помощи метода sinkhole отследить несколько командных серверов, но злоумышленники часто меняют их, так что поймать преступников пока не удалось. Группировка остается активной по сей день.

Деятельность Poseidon — это красноречивый пример того, насколько важно использовать надежные системы безопасности на крупных предприятиях. Стоит также отметить, что решения «Лаборатории Касперского» детектируют все известные образцы Poseidon как Backdoor.Win32.Nhopro, HEUR:Backdoor.Win32.Nhopro.gen или HEUR:Hacktool.Win32.Nhopro.gen.