Poseidons Herrschaftsbereich

9 Feb 2016

Vorbei sind die Zeiten, in der Hacker Schadprogramme nur zum eigenen Vergnügen entwickelten. Heutzutage ist Malware nicht mehr ausschließlich dazu da, um Computer lahmzulegen. In erster Linie soll sie ihren Entwicklern Geld einbringen. Cyberkriminalität ist eine Branche für sich mit großen und kleinen Akteuren. Die Experten von unserem globalen Recherche- und Analyseteam (GReAT) haben unlängst einen neuen Mitspieler der Cybercrime-Industrie aufgedeckt und ihm den Namen „Poseidon-Gruppe“ gegeben. Auf dem Security Analyst Summit 2016 haben sie eine Studie über die Gruppe präsentiert.

Auch wenn die Studie 2016 vorgestellt wurde, ist Poseidon kein Neuling. Malwarekampagnen der Gruppe sind seit 2005 aktiv; die erste Probeversion, die gefunden wurde, reicht bis in das Jahr 2001 zurück. Poseidons Zielgruppe sind Nutzer von Windows 95 bis 8.1 und neuerdings auch Windows-Server 2012. Die Gruppe hat es besonders auf domainbasierte Netzwerke abgesehen, die typisch für große Unternehmen sind.

So schlägt Poseidon zu

Die Angriffe wurden in aller Regel per Spear-Phishing in die Wege geleitet — einer Variante des Phishings, bei der einzelne Personen gezielt angeschrieben werden, im Gegensatz zu groß angelegten Spamkampagnen. Cyberkriminelle greifen dabei meist auf Praktiken des Social Engineering zurück, um die Opfer dazu zu animieren eine bösartige E-Mail zu öffnen.

Indem das Opfer die bösartige Datei —  in aller Regel ein schadhaftes .doc- oder .rtf-Dokument — herunterläd, wird der Computer mit der Malware infiziert. Interessant ist, dass das Poseidon-Toolkit viele Antivirenprogramme zu erkennen scheint und sich entweder versteckt hält oder diese direkt attackiert.

https://twitter.com/kaspersky/status/695610810517872641/photo/1?ref_src=twsrc%5Etfw

Die auf dem PC installierte Malware stellt dann eine Verbindung zu einem Command-and-Control-Server her. Die Angreifer bewegen sich im Netzwerk, sammeln Daten, setzen Zugriffsrechte zu ihrem Vorteil ein und versuchen das Netzwerk zu mappen, um den PC zu finden, nach dem sie suchen. Hauptziel ist üblicherweise der Windows-Domain-Kontrollserver, über den sie geistiges Eigentum, Geschäftsgeheimnisse und andere wichtige geschäftliche Daten stehlen.

Diese Attacken sind auf den spezifischen Fall gemünzt. Auch wenn der erste Schritt üblicherweise der gleiche ist, passt die Gruppe in den folgenden Schritten ihr Vorgehen an das Opfer an — deshalb sprechen die GReAT-Experten davon, dass Poseidon Malware nach Maß entwickelt. Das ist auch der Grund, warum es so lange gedauert hat, die Puzzleteile miteinander zu verbinden und zu erkennen, dass eine Vielzahl scheinbar unzusammenhängender Attacken offenbar von ein und derselben Gruppe ausgeführt worden sind.

https://twitter.com/kaspersky/status/696700193866174464/photo/1?ref_src=twsrc%5Etfw

Die von Poseidon gesammelten Informationen wurden dann oft dazu genutzt, um die Opfer zu erpressen und — indem sie vorgaben ein Sicherheitsanbieter zu sein — versuchten die Kriminellen die Betroffenen davon zu überzeugen, einen Vertrag mit ihnen abzuschließen. In einigen Fällen hielt das Poseidon nicht davon ab, den Angriff fortzusetzen oder eine neue Attacke auf die gleiche Firma durchzuführen. Die Kampagne ist vermutlich nicht staatlich gefördert, da Poseidon sich auf wertvolle Geschäftsinformationen spezialisiert zu haben scheint. Wir vermuten, dass die gestohlenen Informationen in vielen Fällen an Dritte weiterverkauft wurden.

Produkte von Kaspersky Lab erkennen alle bekannten Varianten der Poseidon-Malware und führen sie auf als Backdoor.Win32.Nhopro, HEUR:Backdoor.Win32.Nhopro.gen oder HEUR:Hacktool.Win32.Nhopro.gen.

Eine Besonderheit der Poseidon-Gruppe ist, dass sie hauptsächlich portugiesischsprachige Firmen angreift oder Firmen, die Gemeinschaftsunternehmen in Brasilien haben. Es gibt allerdings auch Opfer in Frankreich, Indien, Kasachstan, Russland, den Vereinten Arabischen Emiraten und den USA.

Derzeit wissen wir von etwa 35 Opfern — betroffen sind unter anderem Kreditinstitute, Regierungseinrichtungen, Energieversorger, Telekommunikationsanbieter, Produktionsunternehmen, sowie Medien- und PR-Agenturen. Da die Gruppe ihre Herangehensweise fortwährend modifiziert und an jedes Opfer individuell anpasst, ist es schwierig eine Poseidon-Attacke als solche zu identifizieren — die Forscher von GReAT vermuten daher, dass die Zahl der Opfer weit größer ist.

Kaspersky Lab arbeitet mit Firmen zusammen, die aktuell Opfer von Malwareinfektionen geworden sind, bietet ihnen Hilfestellungen zum Wiederaufbau an und erstellt geheime Berichte, um die betroffenen Firmen bei der Gefahrenabwehr zu unterstützen. Uns ist es gelungen mehrere Command-and-Control-Server außer Gefecht zu setzen, aber da die Poseidon-Gruppe diese regelmäßig wechselt, setzt sie davon ungeachtet ihre Attacken fort.

Die Cyberkampagnen von Poseidon zeigen, dass eine angemessene Informationssicherheitspolitik und IT-Sicherheitslösungen für große Unternehmen unabdinglich sind. Auf der SAS 2016 berichten wir von weiteren unlängst aufgedeckten APTs.