Lo scorso febbraio al Security Analyst Summit 2016 alcuni esperti di GReAT (Global Research and Analyst Team di Kasperky) hanno presentato un loro studio dal titolo Poseidon’s APT boutique.
Come lo stesso titolo suggerisce Poseidon è una minaccia classificata come APT, ovvero Advanced Persistent Threats (minaccie avanzate e persistenti), che concerne attacchi non visibili contro specifiche organizzazioni. Per fare ciò, normalmente, i gruppi che si dedicano all’APT si armano di malware altamente sofisticati per potersi inserire all’interno della sicurezza e superare le difese informatiche dell’organizzazione da loro prescelta per poter accedere ai contenuti che gli interessano.
Le prime notizie su Poseidon risalgono al 2001 mentre vi sono tracce di un gruppo che opera utilizzando solamente il portoghese e l’inglese (persino negli attacchi rivolti in zone estranee a tali linguaggi), apparentemente attivo dal 2005, e che utilizza questo tipo di minaccia per inserirsi all’interno delle compagnie prese di mira. Ma in cosa effettivamente consiste Poseidon e, soprattutto, perché c’è voluto così tanto tempo per classificarlo?
Poseidon (da non confondersi con l’omonimo malware dei PoS) è un gruppo di persone, un vero e proprio team, che negli anni ha operato ad ogni livello, ossia via mare, via terra, via aerea. Come abbiamo già notato si occupa di attacchi APT in serie, ovvero come targeted attack campaigns: questo tipo di attacchi si diversifica dalle solite minacce a cui siamo abituati sia perché non si presentano in quanto avvenimenti isolati sia per il fatto che il target di riferimento, ovvero il destinatario di tali attacchi, sono industrie, aziende e compagnie specifiche. Inoltre, questi gruppi di norma si focalizzano su piani a lungo termine che possono implicare interessi politici, economici o furto di dati. Il problema fondamentale, quindi, ha richiesto un importante lasso di tempo proprio a causa della quantità e della diversità dei tipi di attacchi APT utilizzati che, in un certo senso, hanno costituito un intricato puzzle che solamente ora gli esperti di Kasperky sono riusciti a ricostruire ed a connettere a quello che hanno scelto di chiamare Gruppo Poseidon.
In specifico il Gruppo Poseidon si è finora focalizzato su almeno 35 multinazionali – di norma con iniziative imprenditoriali congiunte o partner in territorio brasiliano – di telecomunicazioni, public relations, media, istituzioni finanziarie, instituzioni governative, energia e altri tipi di utenza, industria manifatturiera e vari altri servizi sparse in tutto il mondo, dal Brasile alla Francia, agli Stati Uniti al Kazakhstan, all’Arabia passando anche attraverso l’India e la Russia.
Apparentemente, infatti, i dati derubati alle multinazionali vengono utilizzati per forzare le stesse ad intraprendere delle relazioni commerciali. Questo avviene quindi in due modi ovvero sotto la minaccia che tali file vengano passati alla concorrenza oppure fornendoli come “pacchetto dell’offerta commerciale”. Una vera e propria azione, quindi, di sfruttamento e di social engineering (ingegneria sociale).
Non dimentichiamo però che il titolo della dissertazione è Poseidon’s APT boutique: abbiamo letto informazioni sul gruppo chiamato Poseidon e che cosa concernono gli attacchi di tipo APT ma non ancora la motivazione per cui viene utilizzato il soggetto Poseidon ed il perché dell’aggiunta del nome boutique. A questo proposito vi è la presenza, all’interno dei codici utilizzati da Poseidon, di parecchi riferimenti relativi alla mitologia greca, in particolare al dio del mare Poseidone (probabilmente non è nemmeno un caso il fatto che alcuni degli ultimi attacchi si sono appoggiati all’uso di satelliti per la comunicazione marittima); mentre il termine boutique si riferisce all’artigianalità del lavoro di questi hacker il quale viene modellato ed adattato a seconda della situazione, della tipologia di dati ed informazione sensibile e della compagnia verso cui si volge l’attacco.
Nel caso di Poseidon gli attacchi APT vengono inizializzati con uno spear-pishing, ovvero l’invio di un’e-mail da un mittente che pare affidabile e che invita a cliccare un link di qualche sito web contraffatto e pieno di bei virus oppure con allegati di tipo RTF/DOC (file di testo del tipo utilizzato, per esempio, da Word). I file di tipo .exe sono spesso stati nascosti in data stream alternati e firmati digitalmente per fregare i vari tipi di sicurezza presenti sui computer della compagnia prescelta. Il toolkit, o set di attrezzi, utilizzato da Poseidone è stato aggiornato negli anni per essere in grado di difendersi dai vari antivirus ed eventualmente persino attaccarli. Il momento in cui il pacchetto virus si installa nel computer questi va a cercare il Command & Control Server (C&Cs), ovvero un server in grado di istruirlo su cosa fare e come cifrare i dati da estrarre; in un caso già accennato il gruppo Poseidon ha usato, per nascondere il proprio C&Cs, la comunicazione marittima via satellite. A questo punto uno specifico strumento andrà a collezionare automaticamente varie informazioni sensibili aprendo, così facendo, altre possibili falle nel sistema che permetteranno di estrarre maggiori dati e log di amministrazione, conoscere che tipo di comandi utilizzare e di quali programmi usufruire nonché di mappare la rete (questo avviene calcolando tutti i processi ed i servizi che corrono nel sistema in questione e controllando tutti gli account di amministrazione sia nella rete locale che sul network) così da potersi muovere indisturbati nel luogo desiderato e senza azionare alcun segnale di allerta. Per finire, il malware crea una connessione backdoor così da permettere un controllo remoto e permanente agli hacker. A questo punto è ovvio che l‘interesse fondamentale del Gruppo Poseidon sia il DC (Domain Controller ovvero il server di autenticazione per la sicurezza sui sistemi Windows).
Apparentemente, ma queste sono solo speculazioni, considerando la tipologia di dati estratti e l’importanza data alla compravendita delle informazioni commerciali delle multinazionali coinvolte si sospetta che il Gruppo Poseidon faccia capo ad una compagnia focalizzata sulla concorrenza scorretta ma, personalmente, non penso si possano escludere motivazioni anche di tipo politico: questo perché, dal mio punto di vista, il momento in cui aziende di grosso calibro vengono implicate e compromesse a tali livelli, non ci si può esimere dal calcolarne anche l’importanza economica e l’influenza che le stesse hanno rispetto agli Stati in cui operano.
Qui sotto posto il link di un video in inglese di alcuni esperti di Kaspersky i quali, in circa tre minuti, spiegano come si svolge il loro lavoro di ricerca paragonandosi a dei paleontologi alla ricerca di artifatti che diano loro la possibilità di investigare, costruire la storia che vi sta dietro e comprenderne le funzioni per, poi, finalmente poter “cacciare i cacciatori”.
[youtube https://www.youtube.com/watch?v=FzPYGRO9LsA&w=560&h=315]
RIFERIMENTI
Programma del Secutiry Analyst Summit 2016
Targeted cyberattacks Logbook, di Kaspersky
Hunting the Hunters, youtube video by Kaspersky Lab
GReAT, Poseidon Group: a Targeted Attack Boutique specializing in global cyber-espionage, in Securelist, 09.02.16
J. Snow, Il dominio di Poseidon, sul blog di Kaspersky lab, 09.02.16
O. Gorobets, A touch of artistry: Poseidon’s APT Boutique, su business Kaspersky, 09.02.16
Virus News, Kaspersky Lab Exposes the Poseidon Group: A Commercial Malware Boutique Operating on Land, Air and Sea, su Kasperky lab, 09.02.16
Talos Group, Threat Spotlight: PoSeidon, a deep dive into point of sale malware, in Cisco blogs, 20.03.2015