Le domaine de Poséidon

12 Fév 2016

L’époque où les hackers créaient des maliciels juste pour s’amuser est depuis longtemps révolue. De nos jours, les maliciels ne servent pas seulement à paralyser un PC comme autrefois, mais plutôt à faire de l’argent pour ceux qui l’ont créé et utilisé pour infecter votre ordinateur. Le cybercrime est une industrie qui comporte des grands et des petits joueurs. Nos experts du GReAt ont récemment découvert un nouvel acteur dans cet espace qu’ils ont surnommé le groupe Poséidon. Leur recherche sur ce groupe a été présentée lors du Security Analyst Summit 2016.

poseidon-apt-featured

Cette recherche a été présentée en 2016, mais cela ne veut pas dire que le groupe soit nouveau sur le terrain. Il semble qu’il existe des campagnes actives depuis l’année 2005 de sa part. Le premier exemple qui a été trouvé date de 2001 ; Poséidon vise uniquement des ordinateurs qui fonctionnent avec Windows, allant de Windows 95 à Windows 8.1 et Windows Server 2012 dans les derniers échantillons découverts. Le groupe est particulièrement fan des réseaux basés sur des domaines, qui appartiennent généralement à de grandes entreprises et sociétés.

Comment Poséidon frappe

Les attaques commencent généralement par un harponnage ; ce terme désigne une opération de phishing normale qui vise certains individus et ne comporte pas de campagne globale de spam. Généralement, cela signifie que les criminels font appel à l’ingénierie sociale pour convaincre la victime d’ouvrir une lettre malintentionnée.

poseidon-live-photo

Une fois que la victime a téléchargé le fichier malintentionné (habituellement, un document DOC ou RTF qui contient un maliciel incorporé), son ordinateur est compromis. Il est assez intéressant de constater que la boîte à outils de Poséidon ait prévu l’existence de nombreux antivirus dont elle tente de se cacher ou qu’elle attaque pour se défendre.

Ensuite, le maliciel installé sur le PC établit une connexion avec un serveur de contrôle et de commande. Les attaquants réalisent un mouvement latéral et collectent une grande quantité de données en cherchant un moyen d’exploiter les privilèges d’accès et de mapper le réseau afin de trouver le PC spécifique dont ils ont besoin. Leur cible principale est habituellement le serveur de contrôle du domaine Windows, et leur but est de voler des propriétés intellectuelles, des secrets commerciaux et d’autres données commerciales importantes.

Ces attaques sont hautement personnalisées. Malgré le fait que l’étape initiale est normalement identique, tout ce qui se passe après est conçu spécifiquement et personnellement pour chaque victime ; c’est pour cela que l’équipe GReAT a décidé d’appeler Poséidon une  » boutique d’implants malveillants sur mesure « . C’est également la raison principale pour laquelle le fait de rassembler les pièces du casse-tête a pris si longtemps ; il a fallu se rendre compte que toutes les attaques qui ne semblaient avoir aucun rapport entre elles étaient réalisées par un seul groupe qui se cachait dans l’ombre.

Les informations que Poséidon a rassemblées étaient normalement utilisées pour faire chanter les victimes afin qu’elles engagent Poséidon en tant que responsable de la sécurité. Quelquefois, cela n’a pas empêché Poséidon de continuer l’attaque ou d’en réaliser une nouvelle qui visait la même société. Étant donné que Poséidon n’a montré d’intérêt que pour des données commerciales de grande valeur, cette campagne n’est probablement pas cautionnée par l’État. Nous pensons que les informations sont fréquemment vendues à d’autres parties qui ont montré un certain intérêt pour celles-ci et qui avaient suffisamment d’argent pour les acheter.

Tous les produits Kaspersky Lab connaissent les menaces de Poséidon et les détectent en tant que Backdoor.Win32.Nhopro, HEUR:Backdoor.Win32.Nhopro.gen ou HEUR:Hacktool.Win32.Nhopro.gen.

Ce qui rend Poséidon particulier, c’est que c’est le premier acteur sur le marché APT qui vise principalement des sociétés lusophones ou ayant des co-entreprises au Brésil. Il a également eu des victimes en France, en Inde, au Kazakhstan, en Russie, aux EAU et aux États-Unis.

À présent, cependant, nous connaissons au moins 35 victimes qui comprennent des institutions financières et gouvernementales ainsi que des entreprises du domaine énergétique, de télécommunication et de fabrication, et des agences de médias et de relations publiques. Étant donné qu’il est difficile de distinguer une attaque du groupe Poséidon d’un autre maliciel, dû au fait que leur approche est discrète et personnalisée, les chercheurs de GReAT pensent qu’il y a plus de victimes qui sont encore impossibles à identifier pour le moment.

Kaspersky Lab travaille avec les victimes connues à infection active en leur fournissant une assistance de récupération et des rapports d’information afin de les aider à contrer la menace. Nous avons réussi à faire tomber plusieurs serveurs de contrôle et de commande, mais le groupe Poséidon a l’habitude de les changer fréquemment et il reste donc actif pour le moment.

Cette cybercampagne montre bien à quel point les politiques de sécurité de l’information et les solutions de sécurité appropriées ont une importance critique pour les grandes entreprises. Suivez-nous pour en savoir plus sur les APT découverts récemment, car nous allons nous être très attentifs à ce sujet en particulier pendant le SAS 2016.