Il dominio di Poseidon

Al SAS 2016 i ricercatori di Kaspersky Lab discutono del gruppo Poseidon da poco scoperto, un malware APT boutique personalizzato a caccia di dati di interesse commerciale. Scoprine di più qui!

Sono finiti i tempi in cui gli hacker creavano virus solo per divertimento. Oggi il malware non serve semplicemente a bloccare un PC, com’era una volta, ma piuttosto ad arricchire chi crea il malware e infetta il vostro computer. Il crimine informatico è un’industria a sé stante con entità grandi e piccole. I nostri esperti del Team GReAT ne hanno individuata un’altra, che hanno chiamato gruppo Poseidon. La loro ricerca al riguardo è stata presentata al Security Analyst Summit 2016.

Nonostante se ne sia parlato solo quest’anno, ovvero nel 2016, il gruppo non è affatto nuovo. Le sue campagne sembrano essere attive fin dal 2005. Il primo campione trovato risale al 2001: Poseidon punta solo a computer con sistema operativo Windows, che vanno da Windows 95 a, più recentemente, Windows 8.1 e Windows Server 2012. Il gruppo ha una speciale predilezione per le reti basate sul dominio, tipiche delle grandi compagnie e aziende.

Come colpisce Poseidon

In genere, l’attacco inizia con lo spear phishing: il termine indica il comune phishing, rivolto a individui specifici senza l’impiego di alcuna campagna di spam di massa. Di solito, ciò significa che i criminali ricorrono all’ingegneria sociale per convincere la vittima ad aprire un’email nociva.

Una volta che la vittima ha scaricato il file dannoso, di solito un documento DOC o RTF che contiene malware, il computer è compromesso. Poseidon può potenzialmente far saltare l’allarme di molti anti-virus; ecco perché deve cercare di nascondersi da essi o deve mettere in atto strategie di attaco come forma di autodifesa.

Dopo, il malware installato sul PC stabilisce una connessione con un server di command-and-control. Gli aggressori agiscono con un movimento laterale, raccogliendo un sacco di dati, cercando di usare a proprio vantaggio i privilegi d’accesso e di mappare la rete per trovare proprio il PC che stanno cercando. Il loro bersaglio principale è in genere il server Windows Domain Control e l’obiettivo primario è rubare proprietà intellettuale, segreti industriali e altri dati commerciali importanti.

Questi attacchi sono altamente personalizzati. Nonostante la fase iniziale sia in genere la stessa, tutto ciò che avviene dopo è progettato specificatamente e personalmente per ogni vittima: ecco perché il team GReAT ha deciso di definire Poseidon un “malware implant boutique su misura” capace quindi di piazzare impianti malware in modo personalizzato. Questa è anche la ragione principale per cui c’è voluto così tanto per mettere insieme le tessere del puzzle e per capire che tutti gli attacchi all’apparenza scollegati, erano in realtà attuati da un gruppo che si nasconde nell’ombra.

Le informazioni raccolte erano di norma utilizzate per ricattare le vittime e convincerle ad acquisire Poseidon come soluzione di sicurezza. A volte questo non impediva di continuare l’attacco o di iniziarne uno nuovo rivolto alla stessa compagnia. La campagna, probabilmente, non è finanziata dallo stato, in quanto ha mostrato interesse solo nel raccogliere dati commerciali di grande valore. Riteniamo inoltre, che le informazioni spesso fossero vendute a parti terze interessate e con abbastanza denaro per pagarle.

I prodotti Kaspersky Lab conoscono tutte le minacce Poseidon e le rilevano come Backdoor.Win32.Nhopro, HEUR:Backdoor.Win32.Nhopro.gen or HEUR:Hacktool.Win32.Nhopro.gen.

La particolarità di Poseidon risiede nell’essere la prima entità nel mercato APT a prendere di mira soprattutto le compagnie di lingua portoghese o le aziende che hanno joint venture in Brasile. Ci sono anche vittime in Francia, India, Kazakistan, Russia, Emirati Arabi e Stati Uniti.

Ad oggi ne conosciamo almeno 35, incluse istituzioni finanziarie e governative, compagnie energetiche, delle telecomunicazioni e manifatturiere, agenzie di media e pubbliche relazioni. Poiché a causa del loro approccio personalizzato e riservato, è difficile distinguere un attacco del gruppo Poseidon da altri attacchi malware, i ricercatori di GReAT ritengono ci siano più vittime, al momento impossibili da identificare.

Kaspersky Lab sta lavorando insieme alle vittime conosciute di infezione attiva fornendo assistenza e relazioni informative per aiutarle a contrastare la minaccia. Siamo riusciti a chiudere molti server command-and-control, ma il gruppo Poseidon ha l’abitudine di cambiarli spesso e quindi per adesso rimane attivo.

La campagna informatica è un buon esempio di quanto siano importanti per le grandi aziende delle adeguate politiche sulla sicurezza dell’informazione e le soluzioni di sicurezza. Rimanete connessi per saperne di più sulle ATP scoperte di recente, perché al SAS 2016 dedicheremo molta attenzione a questo particolare argomento.

Consigli