گروه Poseidon؛ اولین کمپین سایبری پرتغالی‌زبان

برای بیش از ده سال، مهاجمان مجموعه حملاتی مخفی را علیه شرکت‌های بین‌المللی انجام می‌دادند و در اثر این ارتباط، با مجبور کردن شرکت‌ها به انجام روابط تجاری ساختگی برای سرقت اطلاعات سوءاستفاده می‌کردند.
کارشناسان تیم تحقیق و تحلیل آزمایشگاه جهانی کسپرسکی، که در اجلاس امنیت پژوهش گروه کسپرسکی گرد آمده بودند، به افشای یک پژوهش در مورد یکی از این گروه‌ها و بدافزارهایی که آن‌ها استفاده می‌کرده‌اند پرداختند و می‌گویند که شواهدی کافی از این حملات در دست دارند که نشان دهند این گروه اولین گروه حمله‌ی پرتغالی‌زبان هستند.
بر اساس گفته‌های محققان GReAT ، کنسرسیوم تجاری پشت این گروه APT، عمدتاً از رشته‌های زبان برزیلی-پرتغالی در دستورات و کدهای خود استفاده می‌کنند.
با وجودی که این حملات برای اهداف و سامانه‌های انگلیسی و پرتغالی‌زبان طراحی شده‌‌اند، این گروه هنوز هم تعداد متنوعی از اهداف را که شامل شرکت‌ها و مؤسساتی از آمریکا، فرانسه، انگلستان، قزاقستان، هندوستان، امارات متحده‌ی عربی، روسیه و هدف مورد علاقه برزیل می‌شوند، مورد حمله قرار داده است.
ظاهراً محققان کارگزارهای حمله‌ی آن‌ها را در برزیل، آمریکا، یونان، کلمبیا و ونزوئلا کشف کرده‌اند.
این کار به آسانی شروع می‌شود، این گروه اطلاعات را از شرکت‌ها توسط روش مرسوم فیشینگ با بارگذاری بدافزارها توسط اسناد مایکروسافت آفیس، گردآوری می‌کند. برای به دام انداختن قربانیان، اسناد معمولاً دارای جنبه‌ای از منابع انسانی هستند و به شکل پرونده‌‌های rtf و یا doc ظاهر می‌شوند. گروه POSEIDON هنگامی که موفق به ورود شدند، قادر به بررسی همه‌ی پردازش‌های سامانه و حرکت در درون آن هستند. با ارسال یک در پشتی، آن‌ها می‌توانند اتصال راه دور خود را به این سامانه‌ها تضمین کنند.
پس از آن این اطلاعات حساس گردآوری‌شده، می‌توانند توسط یک شرکت که نامش ذکر نشده استفاده شوند تا به این شرکت‌ ها هشدار دهند که مورد نفوذ قرار گرفته‌اند و باید گروه POSEIDON را به عنوان یک شرکت امنیتی استخدام کنند، تقریباً شبیه به پیش‌بینی در سرمایه‌گذاری جعلی. طبیعتاً، هنگامی که این گروه وارد می‌شوند شروع به بررسی داده‌ها می‌کنند.
محققان تأکید می‌کنند که حمله‌‌کنندگان عمدتاً بر اطلاعات حساس تجاری برای سرقت آن‌ها تکیه داشته‌اند به ویژه اطلاعات مربوط به فن‌آوری و سرمایه‌گذاری‌های مربوط به آن. آن‌ها هیچ تفاوتی میان شرکت‌ها نمی‌گذاشتند، و مجموعه‌ای از ۳۵ شرکت را مورد هدف قرار داده‌اند که شامل مؤسسات مالی، شرکت‌های انرژی و تأمین آب و برق، نهادهای دولتی و حتی رسانه‌های عمومی بوده‌اند.
این بدافزار از یک گواهی‌نامه‌ی امضای دیجیتال استفاده می‌کند که اغلب به نام شرکت‌های قانونی صادر شده است، چیزی که به آن‌ها کمک می‌کرد تا از خطر کشف شدن در امان بمانند.
این کار یک حرکت بزرگ برای POSEIDON بوده است. برخی از نمونه‌های بدافزارها که با گروه POSEIDON مرتبط بوده‌اند معمولاً به تاریخ سال ۲۰۰۵ باز می‌گردند، اما این اولین‌بار است که اطلاعاتی جامع درباره‌ی این گروه عرضه می‌شوند.
با این حال، همچون دیگر تهدیدها آن‌ها نمی‌توانسته‌اند ده سال بدون این‌که دیده شوند کار کنند، بنابراین این بدافزار بالغ شده است، اولین اهداف آن سامانه‌های ویندوز ۹۵ و ویندوز ان‌تی بوده تا این‌که به ویندوز سرور ۲۰۱۲ و ویندوز ۸٫۱ رسیده است.
بزرگ‌ترین ترفند و حیله‌ی اخیر این بدافزار ابزار جمع‌آوری اطلاعات اضافی آن (IGT) است که به سرقت و خروج اطلاعات و سپس پاک‌سازی اجزای آن می‌پردازد، به ویژه هنگامی که به اعتبارنامه‌هایی می‌رسد که بر روی دامنه‌ها و یا کارگزارهای پایگاه‌های داده قرار داده شده‌اند.
محققان که بر روی این گروه کار می‌کنند، از زمانی که کشف کرده‌اند که این گروه ابزارهای خود را برای هر کدام از مشتریان مورد به مورد سفارش‌سازی می‌کنند، اصرار دارند که این گروه یک باند فروش اطلاعات است.
محققان کشف کرده‌اند که نام این بدافزار از تعدادی از بخش‌های متن و در میان رشته‌کدهای اجرایی آن گرفته شده است. این بخش‌های متن نشان می‌دهند که این گروه میل فراوانی به POSEIDON، یعنی خدای اسطوره‌ای دریاها در یونان قدیم داشته‌اند.
این موضوع تنها موردی نیست که گروه POSEIDON با دریاها در ارتباط بوده است. در یکی از حملات، محققان ادعا کرده‌اند که نمونه‌های POSEIDON در نهایت به اتصال‌‌هایی از آدرس‌های آی‌پی ماهواره‌ای مربوط بوده‌اند که برای ارتباط با کشتی‌ها در دریاها طراحی شده‌اند.
کارشناسانی که درباره‌ی این گروه APT‌ نوشته‌اند می‌گویند: «شبکه‌هایی که مورد سوءاستفاده قرار گرفته‌اند، برای ارتباطات اینترنتی با کشتی‌ها در دریا در یک منطقه‌ی وسیع جغرافیایی در مقیاسی جهانی مورد استفاده قرار می‌گیرند، در حالی‌که تقریباً هیچ نوع امنیتی برای دریافت دوباره‌ی این اطلاعات از ماهواره‌ها وجود ندارد.»
محققان می‌گویند بیش از ده سال است که این گروه فعال پشت POSEIDON به فعالیت می‌پرداخته‌اند. همچنان‌که این گروه به کرات ترفندهای خود را به‌روزرسانی می‌کرده‌اند، به شکلی ثابت در حال جنب و جوش بوده‌اند. ‌آن‌ها کارگزارهای مرکز دستورات خود را این اینجا به آنجا منتقل می‌کرده‌اند اما در نهایت راهی جدید را برای تکامل و ابقاء پیدا کرده‌اند.
محققان می‌گویند: «این افراد کاملاً توجه می‌کرده‌اند که چه چیزی در دنیای امنیت فن‌آوری رخ می‌دهد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.