Le Global Research & Analysis Team de Kaspersky Lab a annoncé la découverte du Groupe Poseidon, un acteur évolué de la cybermenace, actif dans des opérations de cyberespionnage mondiales depuis 2005 au moins.
Ce qui distingue le Groupe Poseidon, c’est qu’il s’agit d’une entité commerciale, dont les attaques impliquent des maliciels customisés signés numériquement avec des certificats malicieux, déployés pour dérober des données sensibles aux victimes dans le but ultime de contraindre celles-ci à nouer une relation commerciale. Le maliciel est en outre conçu pour fonctionner spécifiquement sur les machines équipées de Windows en anglais ou en portugais brésilien – une première pour une attaque ciblée.
Au moins 35 sociétés victimes ont été identifiées, les cibles privilégiées relevant du secteur financier et des institutions gouvernementales, des télécommunications, de l’industrie manufacturière, du secteur de l’énergie et d’autres entreprises de services publics, ainsi que des firmes de médias et de relations publiques. Les experts de Kaspersky Lab ont également détecté des attaques contre des sociétés de services s’adressant aux dirigeants d’entreprises. Les victimes de ce groupe ont été trouvées dans les pays suivants:
-États-Unis
-Brésil
-France
–Kazakhstan
–Émirats arabes unis
-Inde
-Russie
La répartition des victimes est toutefois fortement orientée vers le Brésil, où nombre de victimes ont des co-entreprises ou des partenariats. Une découverte est la présence de chaînes en portugais brésilien. La préférence du groupe pour les systèmes portugais, comme révélé par les échantillonnages effectués, est une pratique inédite à ce jour.
Une des caractéristiques du Groupe Poseidon est une exploration active des réseaux d’entreprises basés sur des domaines. D’après le rapport d’analyse de Kaspersky Lab, le Groupe Poseidon recourt à des e-mails de spear-phishing contenant des fichiers RTF/DOC, jouant habituellement la carte des ressources humaines, qui introduisent un code malveillant dans le système de la cible lorsqu’on clique dessus.
Une fois qu’un ordinateur est infecté, le maliciel fait rapport aux serveurs de commande et de contrôle avant d’entamer une phase complexe de mouvement latéral. Cette phase tire souvent parti d’un outil spécialisé qui collecte de manière automatique et agressive une large gamme d’informations comprenant les autorisations, les politiques de gestion de groupe, et même les journaux du système, pour perfectionner encore les attaques et assurer l’exécution du maliciel. Ce faisant, les attaquants savent en fait quelles applications et commandes ils peuvent utiliser sans alerter l’administrateur du réseau pendant le mouvement latéral et l’exfiltration.
Les informations récoltés sont alors mises à profit par une société prête-nom afin d’amener les sociétés victimes à conclure un contrat avec le Groupe Poseidon en qualité de consultant en sécurité, sous la menace d’exploiter les informations dérobées dans une série d’affaires véreuses au bénéfice de Poseidon.
« Le Groupe Poseidon est une équipe qui opère de longue date dans tous les domaines: terre, air et mer. Certains de ses centres de commande et de contrôle ont été trouvés au sein d’ISP qui fournissent des services Internet aux navires en mer, des connexions sans fil ainsi qu’au sein de transporteurs traditionnels, » indique Dmitry Bestuzhev, Director, Global Research & Analysis Team, Kaspersky Lab Latin America. « On a en outre constaté que plusieurs de ses implants avaient une durée de vie très brève, ce qui a permis à ce groupe de pouvoir opérer aussi longtemps sans être détecté. »
Comme le Groupe Poseidon est actif depuis une dizaine d’années au moins, les techniques utilisées pour concevoir ses implants ont aussi évolué, rendant ainsi malaisé pour de nombreux chercheurs de corréler les indicateurs et de réunir toutes les pièces du puzzle. En collectant minutieusement tous les éléments probants, en travaillant sur la calligraphie du cybercriminel et en reconstituant le calendrier de l’attaquant, les experts de Kaspersky Lab ont toutefois été en mesure d’établir à la mi-2015 que les traces précédemment détectées mais non identifiées appartenaient en fait au même cybercriminel, le Groupe Poseidon.
Les produits de Kaspersky Lab détectent et éliminent toutes les versions connues des composantes du Groupe Poseidon.
Source : Kaspersky Lab
Cyberespionnage : Kaspersky Lab dévoile le Groupe Poseidon
10 février 2016