Startseite > Security > Kaspersky Lab enttarnt Poseidon-Gruppe

Gezielte Angriffe auf Englisch und Portugiesisch

Kaspersky Lab enttarnt Poseidon-Gruppe

10. Februar 2016, 7:41 Uhr | LANline/wg

Anlässlich ihres Security Analyst Summits 2016 haben die Experten von Kaspersky Lab die Enttarnung der sogenannten "Poseidon-Gruppe" verkündet. Die Gruppe krimineller IT-Spezialisten sei über maßgeschneiderte, mit gefälschten Zertifikaten signierte Malware an vertrauliche Daten ihrer Opfer gelangt und habe diese dann erpresst, eine Geschäftsbeziehung mit den Angreifern einzugehen. Die verwendete Malware ist auf Windows in den Sprachen Englisch und brasilianisches Portugiesisch zugeschnitten - Letzteres ein Novum in der Geschichte der APTs (Advanced Persistent Threats), so Kaspersky Lab.

Unter den mindestens 35 Opfern der Poseidon-Gruppe befinden sich laut Angaben von Kaspersky Lab vor allem Banken und staatliche Einrichtungen, aber auch Unternehmen aus der TK-Branche, der verarbeitenden Industrie, dem Energiesektor und anderen Infrastrukturbereichen, zudem Medien und sogar PR-Agenturen. Außerdem habe man herausgefunden, dass auch Anbieter von Dienstleistungen für Top-Führungskräfte aus der Wirtschaft zu den Opfern zählen. Zielländer seien die USA, Frankreich, Kasachstan, die Vereinigten Arabischen Emirate, Indien und Russland, der Schwerpunkt liege aber eindeutig auf Brasilien.

Charakteristisch für das Vorgehen der Poseidon-Gruppe sei das Ausspähen Domain-basierter Netzwerke, wie sie Unternehmen typischerweise nutzen. Die Gruppe operiere dann mit Spear-Phishing-E-Mails mit Anhängen in den Formaten .rtf und .doc, deren Anklicken Schadcode auf die Systeme der Opfer aufbringe.

Nach der Infektion trete die Schadsoftware, wie in solchen Fällen üblich, mit C&C-Servern (Command and Control) in Kontakt und beginne, das Netzwerk der Organisation auszuspähen. Oft finde dabei ein Spezial-Tool Verwendung, das automatisch vielfältige Informationen sammelt, darunter Zugangsdaten, Gruppen-Management-Richtlinien und Systemprotokolle.

Dadurch könne die Gruppe künftige Angriffe optimieren und die Ausführbarkeit der Malware sicherstellen. Die Angreifer wüssten somit genau, welche Anwendungsprogramme und Kommandos einsetzbar sind, um keinen Alarm während des Ausspähens und des Datendiebstahls zu verursachen.

Mit dem Wissen aus den gesammelten Daten trete dann „eine Art Front Office“ der Gruppe mit dem Opferunternehmen in Kontakt und zwinge es, Poseidon als Sicherheitsberater zu engagieren. Andernfalls würden die Daten für unlautere Geschäfte der Gruppe verwendet.

„Die Poseidon-Gruppe ist schon lange in allen Bereichen aktiv, zu Lande, zu Wasser und in der Luft“, so Dmitry Bestuzhev, Direktor des Global Research and Analysis Teams Latin America bei Kaspersky Lab. So habe man Command-and-Control-Zentren auch bei Internet-Service-Providern gefunden, die Dienstleistungen für die Seefahrt anbieten.

„Einige der Implantate hatten zudem eine ausgesprochen kurze Lebensdauer“, so Bestuzhev weiter. „Dadurch konnte die Gruppe so lange unentdeckt operieren.“

Denn die Gruppe habe seit mindestens 2005 solche kriminellen Operationen durchgeführt und die Techniken für ihre Implantate immer wieder angepasst. Das habe es den Sicherheitsexperten erschwert, die Indizien richtig zuzuordnen und die Bruchstücke zusammenzufügen. Durch sorgfältiges Sammeln aller Erscheinungsformen und Berücksichtigung der „besonderen Handschrift“ sowie der zeitlichen Abfolge der Angriffe habe Kaspersky Lab aber Mitte 2015 nachweisen können, dass die Spuren tatsächlich zu ein und demselben Angreifer gehören.

Darüber, wer hinter der Poseidon-Gruppe steckt, so Kaspersky Lab, wolle man aber nicht spekulieren. Die Sprache des Codes, der bei der Kompilierung der Implantate verwendet wurde, ebenso die Sprache zur Beschreibung mancher Kommandos entspreche aber dem Portugiesisch, wie man es in Brasilien spricht. Dies sowie eine Vorliebe für portugiesischsprachige Systeme fielen in den Code-Samples auf. Des Weiteren hätten die Kriminellen vorrangig kommerzielle Ziele verfolgt – klarer werde das Bild aber nicht.

Kaspersky Lab betont, die hauseigene Sicherheitssoftware erkenne und entferne alle bekannten Malware-Komponenten der Poseidon-Gruppe.

Ein ausführliche Bericht von Kaspersky Lab dazu findet sich unter ;.