מעבדת קספרסקי חושפת את קבוצת פוסידון: קמפיין בוטיק דובר פורטוגזית, הממוקד בגופים פיננסים, חברות טלקום, ייצור, אנרגיה, מדיה ויח"צ

צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי הכריז על חשיפת קבוצת "פוסידון" (Poseidon), שחקן איום מתקדם הפעיל בזירת ריגול הסייבר הבינלאומי לפחות מאז 2005. מה שגורם לקבוצת פוסידון לבלוט הוא בכך שמדובר בישות מסחרית, שההתקפות שלה משלבות קוד זדוני אישי עם חתימה דיגיטלית של תעודות מזויפות, המופעל כדי לגנוב מידע רגיש מקורבנות ולכפות עליהם יחסים עסקיים. בנוסף, הקוד הזדוני תוכנן כדי לפעול במיוחד במחשבים מבוססי מערכת חלונות בשפות אנגלית ופורטוגזית – זו הפעם הראשונה שנחשפת שיטת פעולה כזו במסגרת התקפה ממוקדת.

35 חברות אשר נפלו קורבן לפעילות הקבוצה משתייכות למגזרי המטרה, הכוללים גופים פיננסים וממשלתיים, חברות טלקום, ייצור, אנרגיה ותשתיות אחרות, וכן חברות מדיה ויחסי ציבור. מומחי מעבדת קספרסקי גם זיהו מתקפות על חברות שירות אשר מטפלות בבעלי תפקידים בכירים בארגונים. קורבנות בקבוצה זו נמצאו במדינות הבאות: ארה"ב, צרפת, קזחסטן, איחוד האמירויות, הודו ורוסיה. עם זאת, פריסת הקורבנות מוטה מאוד כלפי ברזיל, שם לרבים מהקורבנות יש אחזקות או פעילות שותפים.

אחד מהמאפיינים של קבוצת פוסידון הוא חקירה פעילה של רשתות ארגוניות על פי דומיין. על פי הדוח של מעבדת קספרסקי, קבוצת פוסידון מסתמכת על הודעות פישינג ממוקד אליהן מצורפים קבצי RTF/DOC, הפונות בדרך כלל למשאבי אנוש, ומזריקות קוד בינארי זדוני אל מערכת המטרה כאשר פותחים את הקבצים. ממצא מרכזי נוסף הוא הנוכחות של מחרוזות בפורטוגזית-ברזילאית. ההעדפה של הקבוצה למערכות בשפה הפורטוגזית-ברזילאית, כפי שנחשף בדוגמיות שנאספו, היא דרך פעולה שלא נצפתה בעבר.

ברגע שמחשב מודבק, הקוד הזדוני מדווח לשרתי הפיקוד והשליטה לפני שהוא מתחיל בשלב מורכב של תנועה רוחבית. שלב זה ימנף לעיתים קרובות כלי מיוחד, אשר אוסף באופן אוטומטי ואגרסיבי טווח רחב של סוגי מידע, כולל הרשאות, מדיניות ניהול קבוצות, ואפילו לוגים של המערכת, כדי לתכנן טוב יותר התקפות עתידיות ולהבטיח הוצאה לפועל של הקוד הזדוני. בכך, התוקפים למעשה יודעים באילו אפליקציות ופקודות הם יכולים להשתמש מבלי להפעיל התרעה אצל מנהל הרשת במהלך התנועה הרוחבית וחילוץ המידע.

המידע שנאסף ממונף לאחר מכן באמצעות עסק חיצוני, כדי לגרום לקורבנות ליצור קשר עם קבוצת פוסידון כיועצת אבטחה, תחת איום של ניצול המידע שנאסף בסדרה של עסקאות מפוקפקות לרווחת פוסידון.

"קבוצת פוסידון פועלת זמן רב בכל התחומים: יבשה, אוויר וים. חלק ממרכזי הפיקוד והשליטה שלה נמצאים בתוך ספקי שירותי אינטרנט אלחוטיים לאוניות בים, וכן בספקים של שירותי תקשורת מסורתיים", אמר דמיטרי בשוזב, מנהל צוות מחקר וניתוח בינלאומי, במעבדת קספרסקי אמריקה הלטינית. "בנוסף, נמצא כי למספר שתלים של הקבוצה יש אורך חיים קצר מאוד, אשר תורם ליכולת שלה לפעול במהלך זמן כה ארוך ללא גילוי".

מאחר וקבוצת פוסידון הייתה פעילה במהלך יותר מ- 10 שנים, הטכניקות המשמשות אותה בתכנון השתלים שלה התפתחו, ובכך הקשו על חוקרים רבים לחבר סימנים שונים לתמונה אחת גדולה. עם זאת, באמצעות איסוף זהיר של כל העדויות, עבודה עם הקליגרפיה של הקבוצה ובניית רצף הזמנים של התוקף, באמצע 2015 מומחי מעבדת קספרסקי הצליחו לבסס את ההבנה כי עקבות שזוהו בעבר אכן שייכות לאותה קבוצת פוסידון.

מוצרי מעבדת קספרסקי מזהים ומסירים את כל הגרסאות הידועות של רכיבי קבוצת פוסידון.

לקריאת הדוח המלא אודות קבוצת פוסידון לרבות תיאור מפורט של הכלים הזדוניים, סטטיסטיקות וסימני פריצה- Securelist.com

דילוג לתוכן