Abo
  • Services:
Anzeige
Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken

Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Eine besonders hartnäckige Gruppe von Online-Kriminellen greift seit mehr als zehn Jahren große Organisationen an. Auf dem Security Analyst Summit hat das Sicherheitsunternehmen Kaspersky Labs erstmals öffentlich über die Poseidon-Gruppe gesprochen.

Sicherheitsexperten von Kaspersky Labs sind einer Gruppe von Cyberkriminellen auf die Spur gekommen, die seit Anfang der 2000er gezielt multinationale Organisationen angreift und deren Netzwerke infiltriert. Auf der Hausmesse der Kaspersky Labs, dem Security Analyst Summit auf Teneriffa, haben die Sicherheitsexperten Dmitry Bestuzhev, Juan Andres Guerrero-Saade und Santiago Pontiroli ihre Erkenntnisse über die sogenannte Poseidon-Gruppe erstmals öffentlich vorgestellt.

Anzeige

Die Gruppe trägt den Namen des griechischen Meeresgottes Poseidon, da es ihr gelungen ist, Zugriff auf Satelliten-Kommunikation zu erlangen. Die entsprechenden Satelliten bringen das Internet an die abgelegensten Orte der Welt, etwa auf das Meer. Somit konnte ein Teil der Angriffe "mitten aus dem Ozean" durchgeführt werden. Eigentlich ist diese Kommunikation für Schiffe oder Reedereien vorgesehen, allerdings scheint es der Gruppe bei einem früheren Beutezug gelungen zu sein, eines solchen Systems habhaft zu werden.

In einem nächsten Schritt hat sie es für ihre eigene Zwecke genutzt und konnte damit die Sicherheitsexperten eine ganze Zeit verwirren - schließlich kommen gewöhnliche Angreifer nicht aus dem Meer, sondern die IP-Adressen lassen sich zumindest Ländern zuordnen. In Einzelfällen wurde sogar der Zugriff aus der Luft genutzt - alles mit dem Ziel, die eigentliche Herkunft zu verschleiern. Damit ist die Poseidon-Gruppe eine der ersten, die Internetzugänge vom Land, vom Wasser und aus der Luft nutzte.

Spear-Phishing und verschlüsselte Viren

Nicht nur bei der Verwendung der Infrastruktur geht die Gruppe sehr vorsichtig vor, sondern auch bei den Angriffen. Laut den Sicherheitsexperten ist die erste Angriffsphase meist die Versendung von Bewerbungsunterlagen an Personen aus der HR-Abteilung, ein sogenannter Spear-Phishing-Angriff. Die versendeten Unterlagen wirken auf den ersten Blick sehr überzeugend, sie lassen sich kaum von gewöhnlichen Bewerbungen unterscheiden, sind allerdings mit einem schädlichen Macro-Code gespickt. Wird dieser Macro-Code ausgeführt, sammelt ein Programm weitere Informationen über das Netzwerk, versendet diese an den Angreifer und empfängt anschließend gezielt Funktionen für das weitere Vorgehen, die auf die Systemumgebung abgestimmt sind.

In Einzelfällen wurden bereits in dieser Phase Filter umgangen, beispielsweise indem die übersendeten Word-Dateien verschlüsselt wurden. Ein Sicherheitssystem, etwa ein Virenscanner eines E-Mail-Servers, hat dadurch keine Möglichkeit, die Datei zu scannen. Ein Mensch könnte die Datei allerdings aus Neugier mit dem in der E-Mail genannten Passwort öffnen und dadurch ungewollt die Pforte für die Angreifer öffnen. Selbst wenn verschlüsselte Word-Dateien durch sogenanntes Blacklisting in Sicherheitssystemen nicht erlaubt waren, gelang den Angreifern der Zugriff. Sie nutzen wri-Dateien (Windows Write Document), diese wurden von einem Großteil der Sicherheitslösungen außer Acht gelassen, da es sich um ein altes und nicht sonderlich bekanntes Dateiformat handelt, welches allerdings auch die Ausführung von Code ermöglichte und mit Microsoft Word geöffnet werden kann.

Zahlreiche multinationale Unternehmen betroffen 

eye home zur Startseite
Tim Schäfers 12. Feb 2016

Vielen Dank für den Hinweis - da ist uns in der Tat ein Fehler unterlaufen. Seit gestern...

Tim Schäfers 10. Feb 2016

Das sind weder Vermutungen noch Tatsachen - sondern Erfahrungswerte aus früheren Fällen...



Anzeige

Stellenmarkt
  1. Neoperl GmbH, Müllheim
  2. Deutsche Rückversicherung AG Verband öffentlicher Versicherer, Düsseldorf
  3. MBtech Group GmbH & Co. KGaA, Stuttgart, Sindelfingen, Neu-Ulm, Ulm
  4. T-Systems International GmbH, München, Leinfelden-Echterdingen, Nürnberg


Anzeige
Top-Angebote
  1. 49,90€ (Vergleichspreis: 62,90€)
  2. 59,90€ (Vergleichspreis: 71,30€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  2. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  3. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  4. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  5. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  6. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"

  7. Pegasus

    Ausgeklügelte Spyware attackiert gezielt iPhones

  8. Fenix Chronos

    Garmins neue Sport-Smartwatch kostet ab 1.000 Euro

  9. C-94

    Cratoni baut vernetzten Fahrradhelm mit Crash-Sensor

  10. Hybridluftschiff

    Airlander 10 streifte Überlandleitung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

  1. Re: Ich empfehle an dieser Stelle: The Truth...

    Proctrap | 01:56

  2. Re: Und der Rest ist Zuckerwatte

    johnsonmonsen | 01:47

  3. Re: iOS, na klar!

    plutoniumsulfat | 01:17

  4. Re: Diebstahl leicht gemacht

    plutoniumsulfat | 01:12

  5. Re: Oder einfach USB kabel

    plutoniumsulfat | 01:08


  1. 15:33

  2. 15:17

  3. 14:29

  4. 12:57

  5. 12:30

  6. 12:01

  7. 11:57

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel