APT
Времена, когда хакеры писали вирусы просто для развлечения, давно ушли. Сегодня вредоносные программы создаются совсем не для того, чтобы заставить ваш компьютер медленно работать, а чтобы обогатить злоумышленников. Киберпреступность давно превратилась в серьезную индустрию, в которой имеются как крупные, так и мелкие игроки. Эксперты из центра исследований GReAT недавно обнаружили новую группировку, получившую название Poseidon, и рассказали о ней на Security Analyst Summit 2016.
Хотя отчет представлен только в 2016 году, кибергруппировка орудует уже давно. Вредоносные кампании, к которым, очевидно, приложили руку члены Poseidon, были обнаружены еще в 2005 году, а первый образец зловреда датируется 2001-м. Инструментарий Poseidon нацелен исключительно на компьютеры под Windows: от Windows 95, которой группировка занималась в начале «карьеры», до Windows 8.1 и Windows Server 2012, для которых и были созданы самые свежие из обнаруженных образцов зловреда. Группировка уделяет особое внимание доменным сетям, которые чаще всего применяются в крупных компаниях и на предприятиях.
Посейдон разящий
На начальном этапе атаки используется целевой фишинг, то есть, проще говоря, обычное мошенническое письмо с вредоносным вложением и написанным под вполне конкретных жертв текстом. В ходе целевых фишинговых кампаний злоумышленники охотно задействуют трюки из арсенала социальной инженерии, обманом вынуждая пользователя открыть письмо, содержащее вредоносный файл.
Заражение компьютера происходит, как только жертва устанавливает зловред, внедренный в файл DOC или RTF. Что любопытно, Poseidon умеет обходить антивирусы или даже атаковать их.
На #TheSAS2016 рассказали о Poseidon — первой группировке, чьей целью являются португалоязычные компании. pic.twitter.com/uxihFVsNxL
— Kaspersky (@Kaspersky_ru) February 9, 2016
Укоренившийся в инфицированном компьютере троянец устанавливает соединение с командным сервером злоумышленников. Получив доступ, преступники перемещаются по сети и собирают побольше разных данных для того, чтобы повысить привилегии, составить карту сети и выявить нужный им компьютер. Главной целью атаки обычно является контроллер локального домена Windows, захватив который злоумышленники могут похитить объекты интеллектуальной собственности, данные, составляющие коммерческую тайну, и другую ценную информацию.
Согласно статистике и исследованиям, APT-атаки все чаще нацеливаются на бизнес, потому что становятся дешевле: https://t.co/KtOi9zipGr
— Kaspersky (@Kaspersky_ru) December 10, 2015
Сценарий атаки старательно адаптируется в соответствии с особенностями жертвы. Несмотря на то что первоначальное заражение происходит по одному и тому же сценарию, последующие этапы кампании учитывают особенности, характерные для каждой новой жертвы. Именно поэтому специалисты GReAT решили назвать Poseidon «бутиком, производящим персонализированные зловреды» (custom-tailored malware boutique).
Из-за высокой степени персонализации экспертам пришлось очень долго собирать все кусочки пазла в единую картину: на первый взгляд казалось, что эти атаки совершенно не связаны между собой. Но на самом деле все инциденты были делом рук одной и той же скрытной группировки. Название Poseidon она получила из-за того, что авторам троянцев, если судить по их коду, очень нравится греческая мифология в целом и бог моря Посейдон в частности.
Причем ребята в Poseidon серьезные: каждую атаку готовят отдельно — к каждому «клиенту» индивидуальный подход.
— Kaspersky (@Kaspersky_ru) February 9, 2016
Информация, которую собирал для своих хозяев Poseidon, в большинстве случаев использовалась для шантажа. С его помощью члены банды пытались заставить жертву подписать с ними контракт на услуги по обеспечению информационной безопасности. Иногда даже заключенная сделка не останавливала преступников: они либо продолжали атаку, либо атаковали ту же компанию заново.
Маловероятно, что за деятельностью Poseidon стоят спецслужбы: злоумышленников интересовала исключительно коммерческая информация, а также интеллектуальная собственность и компромат на руководство компаний. Также есть все основания полагать, что украденные данные перепродавались на сторону всем, кто проявлял интерес и мог предложить подходящую цену.
Группировка Poseidon — бутик, изготавливающий кастомизированных шпионов #theSAS2016
Tweet
Poseidon уникален тем, что является первым заметным игроком на APT-поле, нападающим помимо англоязычных еще и на португалоязычные компании или предприятия, соучредителями которых являются бразильские компании. Жертвы Poseidon также обнаружены во Франции, Индии, Казахстане, России, ОАЭ и США. Сама группировка, похоже, также имеет португалоязычные корни.
На данный момент известно по крайней мере о 35 пострадавших компаниях, в числе которых финансовые и правительственные организации, энергетические и производственные компании, СМИ и пиар-агентства. Большинство жертв являются крупными организациями, в основном международными. Поскольку атаку Poseidon достаточно трудно отличить от какой-то другой атаки в силу постоянно меняющегося подхода к взлому и неоспоримого умения злоумышленников оставаться незамеченными, исследователи GReAT предполагают, что жертв может быть намного больше.
48 hours to reveal #WhoIsPoseidon
Come and see https://t.co/E3RDQzlSez
At #TheSAS2016— Dmitry Bestuzhev (@dimitribest) February 7, 2016
Эксперты «Лаборатории Касперского» помогают представителям пострадавших организаций справиться с последствиями, консультируя их и предоставляя аналитические данные. Мы смогли при помощи метода sinkhole отследить несколько командных серверов, но злоумышленники часто меняют их, так что поймать преступников пока не удалось. Группировка остается активной по сей день.
Деятельность Poseidon — это красноречивый пример того, насколько важно использовать надежные системы безопасности на крупных предприятиях. Стоит также отметить, что решения «Лаборатории Касперского» детектируют все известные образцы Poseidon как Backdoor.Win32.Nhopro, HEUR:Backdoor.Win32.Nhopro.gen или HEUR:Hacktool.Win32.Nhopro.gen.
Советы