È attiva almeno dal 2005 e opera nello spionaggio informatico a livello mondiale, con obiettivi primari come istituzioni finanziarie e governative, aziende di telecomunicazioni, manifatturiere, energetiche e altre società di servizi pubblici, oltre che media e aziende di relazioni pubbliche. Si tratta del gruppo Poseidon, un’entità commerciale i cui attacchi sfruttano malware personalizzati firmati digitalmente con certificati falsi usati per rubare informazioni sensibili dalle vittime allo scopo di obbligarle ad avviare una relazione d’affari.
Secondo gli esperti di Kaspersky Lab, che hanno scoperta l’esistenza di Poseidon, le aziende colpite sarebbero almeno 35, tra istituzioni finanziarie e governative, aziende di telecomunicazioni, manifatturiere, energetiche e altre società di servizi pubblici, oltre che media e aziende di relazioni pubbliche. Rilevati inoltre attacchi a società di servizi che curano il catering per i maggiori manager aziendali.
Stati Uniti, Francia, Kazakistan, Emirati Arabi Uniti, India e Russia i paesi coinvolti, anche se le vittime del gruppo sono maggiormente concentrate in Brasile.
Come funziona Poseidon.
Una delle caratteristiche del gruppo Poseidon è l’esplorazione attiva delle reti aziendali basate su un dominio. Secondo il report di analisi di Kaspersky Lab, il gruppo Poseidon fa uso di email di spear-phishing con file RTF/DOC, solitamente con un’esca per le risorse umane, che, una volta cliccati, scaricano un codice binario nocivo nel sistema preso di mira. Un’altra scoperta essenziale è la presenza di stringhe in lingua portoghese-brasiliana. La preferenza espressa dal gruppo per i sistemi portoghesi, come svelato dai campioni, è una pratica che non è mai stata vista precedentemente.
Una volta infettato il computer, il malware fa rapporto ai server di comando e controllo prima di iniziare una fase complessa di movimenti laterali. Questa fase sfrutta spesso un tool specializzato che raccoglie automaticamente e in modo aggressivo una vasta gamma di informazioni tra cui credenziali, policy di gestione dei gruppi e persino i registri di sistema per perfezionare al meglio ulteriori attacchi e garantire l’esecuzione del malware. Così facendo, i criminali scoprono quali applicazioni e comandi possono usare senza allertare l’amministratore di rete durante i movimenti laterali e la fuoriuscita dei dati.
Le informazioni ottenute vengono quindi sfruttate da un’impresa di copertura per convincere le aziende prese di mira ad assumere il gruppo Poseidon in qualità di consulente di sicurezza, dietro la minaccia di sfruttamento delle informazioni rubate con una serie di loschi affari a vantaggio di Poseidon.
Adwind: il malware venduto su abbonamento
Oltre a Poseidon, i Global Research and Analysis Team di Kaspersky Lab ha dato notizia anche di un altro tipo di programma nocivo usato in attacchi contro 443.000 obiettivi tra utenti privati, aziende commerciali e non, in tutto il mondo.
Si tratta della piattaforma malware as-a-service Adwind, scoperta durante un tentativo di attacco mirato a una banca di Singapore.
La particolarità è che può essere venduto come un servizio online, al pari di servizi come Spotify o Netflix: viene cioè distribuito apertamente in forma di servizio a pagamento, dove il “cliente” paga un prezzo in cambio del programma nocivo. Sulla base di un’indagine delle attività degli utenti sulla bacheca interna e di altre osservazioni, i ricercatori di Kaspersky Lab hanno stimato che alla fine del 2015 fossero 1.800 gli utenti nel sistema. Questo lo rende una delle principali piattaforme malware oggi esistenti.
Come funziona: Adwind si installa automaticamente e prova a comunicare con il server di comando e controllo. L’elenco delle funzionalità del malware comprende la capacità di: Registrare le sequenze di tasti; Rubare le password archiviate e ottenere informazioni dai moduli web; Fare screenshot; Fare foto e video dalla webcam; Registrare i suoni dal microfono; Trasferire file; Raccogliere informazioni generali sul sistema e sull’utente; Rubare le password per i wallet delle criptovalute; Gestire i messaggi (per Android); Rubare i certificati VPN.
