נחשפה קבוצת "פוסידון": איום דובר פורטוגזית הפעיל בזירת ריגול הסייבר הבינלאומי
מאת: מערכת Telecom News, 9.2.16, 19:21
קבוצת Poseidonממוקדת בגופים פיננסים, חברות טלקום, ייצור, אנרגיה, מדיה ויחסי ציבור ובבעלי תפקידים בכירים בארגונים.
צוות המחקר והניתוח הבינלואמי של מעבדת קספרסקי הכריז על חשיפת "פוסידון" - Poseidon, שחקן איום מתקדם הפעיל בזירת ריגול הסייבר הבינלאומי לפחות מאז 2005. מה שגורם לקבוצת פוסידון לבלוט הוא בכך, שמדובר ביישות מסחרית, שההתקפות שלה משלבות קוד זדוני אישי עם חתימה דיגיטלית של תעודות מזויפות, שמופעל כדי לגנוב מידע רגיש מקורבנות ולכפות עליהם יחסים עסקיים. בנוסף, הקוד הזדוני תוכנן כדי לפעול במיוחד במחשבים מבוססי מערכת חלונות בשפות אנגלית ופורטוגזית. זו הפעם הראשונה, שנחשפת שיטת פעולה כזו במסגרת התקפה ממוקדת.
35 חברות, שנפלו קורבן לפעילות הקבוצה, משתייכות למגזרי המטרה, שכוללים גופים פיננסים וממשלתיים, חברות טלקום, ייצור, אנרגיה ותשתיות אחרות חברות מדיה ויחסי ציבור. זוהו גם מתקפות על חברות שירות, שמטפלות בבעלי תפקידים בכירים בארגונים. קורבנות בקבוצה זו נמצאו במדינות הבאות: ארה"ב, צרפת, קזחסטן, איחוד האמירויות, הודו ורוסיה. עם זאת, פריסת הקורבנות מוטה מאוד כלפי ברזיל, שם לרבים מהקורבנות יש אחזקות או פעילות שותפים.
אחד מהמאפיינים של קבוצת פוסידון הוא חקירה פעילה של רשתות ארגוניות עפ"י דומיין. עפ"י הדו"ח, קבוצת פוסידון מסתמכת על הודעות פישינג ממוקד אליהן מצורפים קבצי RTF/DOC, שפונות בדרך כלל למשאבי אנוש ומזריקות קוד בינארי זדוני אל מערכת המטרה כאשר פותחים את הקבצים. ממצא מרכזי נוסף הוא הנוכחות של מחרוזות בפורטוגזית-ברזילאית. ההעדפה של הקבוצה למערכות בשפה הפורטוגזית-ברזילאית, כפי שנחשף בדוגמיות שנאספו, היא דרך פעולה, שלא נצפתה בעבר.
ברגע שמחשב מודבק, הקוד הזדוני מדווח לשרתי הפיקוד והשליטה לפני שהוא מתחיל בשלב מורכב של תנועה רוחבית. שלב זה ימנף לעיתים קרובות כלי מיוחד, שאוסף באופן אוטומטי ואגרסיבי טווח רחב של סוגי מידע, כולל הרשאות, מדיניות ניהול קבוצות, ואפילו לוגים של המערכת, כדי לתכנן טוב יותר התקפות עתידיות ולהבטיח הוצאה לפועל של הקוד הזדוני. בכך, התוקפים למעשה יודעים באילו אפליקציות ופקודות הם יכולים להשתמש מבלי להפעיל התרעה אצל מנהל הרשת במהלך התנועה הרוחבית וחילוץ המידע.
המידע שנאסף ממונף לאחר מכן באמצעות עסק חיצוני, כדי לגרום לקורבנות ליצור קשר עם קבוצת פוסידון כיועצת אבטחה, תחת איום של ניצול המידע שנאסף בסדרה של עסקאות מפוקפקות לרווחת פוסידון.
מאחר שקבוצת פוסידון הייתה פעילה במהלך יותר מ-10 שנים, הטכניקות המשמשות אותה בתכנון השתלים שלה התפתחו, ובכך הקשו על חוקרים רבים לחבר סימנים שונים לתמונה אחת גדולה. עם זאת, באמצעות איסוף זהיר של כל העדויות, עבודה עם הקליגרפיה של הקבוצה ובניית רצף הזמנים של התוקף, הצליחו מומחי מעבדת קספרסקי באמצע 2015 לבסס את ההבנה, שעקבות, שזוהו בעבר, אכן שייכות לאותה קבוצת פוסידון.
דמיטרי בשוזב, מנהל צוות מחקר וניתוח בינלאומי, במעבדת קספרסקי אמריקה הלטינית: "קבוצת פוסידון פועלת זמן רב בכל התחומים: יבשה, אוויר וים. חלק ממרכזי הפיקוד והשליטה שלה נמצאים בתוך ספקי שירותי אינטרנט אלחוטיים לאוניות בים, וכן בספקים של שירותי תקשורת מסורתיים. בנוסף נמצא, שלמספר שתלים של הקבוצה יש אורך חיים קצר מאוד, שתורם ליכולת שלה לפעול במהלך זמן כה ארוך ללא גילוי".