Anzeige
Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken

Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Eine besonders hartnäckige Gruppe von Online-Kriminellen greift seit mehr als zehn Jahren große Organisationen an. Auf dem Security Analyst Summit hat das Sicherheitsunternehmen Kaspersky Labs erstmals öffentlich über die Poseidon-Gruppe gesprochen.

Sicherheitsexperten von Kaspersky Labs sind einer Gruppe von Cyberkriminellen auf die Spur gekommen, die seit Anfang der 2000er gezielt multinationale Organisationen angreift und deren Netzwerke infiltriert. Auf der Hausmesse der Kaspersky Labs, dem Security Analyst Summit auf Teneriffa, haben die Sicherheitsexperten Dmitry Bestuzhev, Juan Andres Guerrero-Saade und Santiago Pontiroli ihre Erkenntnisse über die sogenannte Poseidon-Gruppe erstmals öffentlich vorgestellt.

Anzeige

Die Gruppe trägt den Namen des griechischen Meeresgottes Poseidon, da es ihr gelungen ist, Zugriff auf Satelliten-Kommunikation zu erlangen. Die entsprechenden Satelliten bringen das Internet an die abgelegensten Orte der Welt, etwa auf das Meer. Somit konnte ein Teil der Angriffe "mitten aus dem Ozean" durchgeführt werden. Eigentlich ist diese Kommunikation für Schiffe oder Reedereien vorgesehen, allerdings scheint es der Gruppe bei einem früheren Beutezug gelungen zu sein, eines solchen Systems habhaft zu werden.

In einem nächsten Schritt hat sie es für ihre eigene Zwecke genutzt und konnte damit die Sicherheitsexperten eine ganze Zeit verwirren - schließlich kommen gewöhnliche Angreifer nicht aus dem Meer, sondern die IP-Adressen lassen sich zumindest Ländern zuordnen. In Einzelfällen wurde sogar der Zugriff aus der Luft genutzt - alles mit dem Ziel, die eigentliche Herkunft zu verschleiern. Damit ist die Poseidon-Gruppe eine der ersten, die Internetzugänge vom Land, vom Wasser und aus der Luft nutzte.

Spear-Phishing und verschlüsselte Viren

Nicht nur bei der Verwendung der Infrastruktur geht die Gruppe sehr vorsichtig vor, sondern auch bei den Angriffen. Laut den Sicherheitsexperten ist die erste Angriffsphase meist die Versendung von Bewerbungsunterlagen an Personen aus der HR-Abteilung, ein sogenannter Spear-Phishing-Angriff. Die versendeten Unterlagen wirken auf den ersten Blick sehr überzeugend, sie lassen sich kaum von gewöhnlichen Bewerbungen unterscheiden, sind allerdings mit einem schädlichen Macro-Code gespickt. Wird dieser Macro-Code ausgeführt, sammelt ein Programm weitere Informationen über das Netzwerk, versendet diese an den Angreifer und empfängt anschließend gezielt Funktionen für das weitere Vorgehen, die auf die Systemumgebung abgestimmt sind.

In Einzelfällen wurden bereits in dieser Phase Filter umgangen, beispielsweise indem die übersendeten Word-Dateien verschlüsselt wurden. Ein Sicherheitssystem, etwa ein Virenscanner eines E-Mail-Servers, hat dadurch keine Möglichkeit, die Datei zu scannen. Ein Mensch könnte die Datei allerdings aus Neugier mit dem in der E-Mail genannten Passwort öffnen und dadurch ungewollt die Pforte für die Angreifer öffnen. Selbst wenn verschlüsselte Word-Dateien durch sogenanntes Blacklisting in Sicherheitssystemen nicht erlaubt waren, gelang den Angreifern der Zugriff. Sie nutzen wri-Dateien (Windows Write Document), diese wurden von einem Großteil der Sicherheitslösungen außer Acht gelassen, da es sich um ein altes und nicht sonderlich bekanntes Dateiformat handelt, welches allerdings auch die Ausführung von Code ermöglichte und mit Microsoft Word geöffnet werden kann.

Zahlreiche multinationale Unternehmen betroffen 

eye home zur Startseite
Tim Schäfers 12. Feb 2016

Vielen Dank für den Hinweis - da ist uns in der Tat ein Fehler unterlaufen. Seit gestern...

Tim Schäfers 10. Feb 2016

Das sind weder Vermutungen noch Tatsachen - sondern Erfahrungswerte aus früheren Fällen...

Kommentieren



Anzeige

  1. Senior Architect / Senior Entwickler (m/w)
    T-Systems International GmbH, Darmstadt
  2. Lead Ingenieur/-in Getriebesteuerung
    Robert Bosch GmbH, Schwieberdingen
  3. Kodierfachkraft (m/w)
    Isar Kliniken GmbH, München
  4. Senior Training Manager (m/w)
    Fresenius Medical Care Deutschland GmbH, Bad Homburg

Detailsuche



Anzeige
Hardware-Angebote
  1. NEU: Geforce GTX 1080 Info-Seite
    ab 27.05. verfügbar
  2. PCGH-Allround-PC GTX970-Edition
    (Core i5-6500 + Geforce GTX 970)
  3. TIPP: PCGH i7-6700K Overclocking Aufrüst Kit @ 4,5 GHz
    nur 799,90€

Weitere Angebote


Folgen Sie uns
       


  1. Alle 20 Minuten

    EU-Kommission erlaubt deutlich mehr Fernsehwerbung

  2. Samsung

    Keine neuen Smartwatches mit Android Wear geplant

  3. Cryorig Ola

    Das Gehäuse, um den Mac Pro selbst zu bauen

  4. Projekt Trust Secure

    Google will mal wieder Passwörter abschaffen

  5. Telekom-Chef

    Konkurrenz soll aufhören zu "jammern"

  6. Android TV

    Google nimmt Nexus Player vom Markt

  7. Solid-State-Drive

    Samsung bringt die SSD 750 Evo nach Deutschland

  8. Xperia X im Hands on

    Sonys vorgetäuschte Oberklasse

  9. Autonomes Fahren

    Ethik-Kommission soll Leitlinien für Algorithmen entwickeln

  10. Keine freie Software

    Cryengine ist öffentlich auf Github verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  2. Inductrack Hyperloop schwebt ohne Strom
  3. Hyperloop Die Slowakei will den Rohrpostzug

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

  1. Re: CDs sind wie Floppys, Kassetten und VHSs

    plutoniumsulfat | 14:50

  2. Re: Der einzig wahre Tipp...

    Justizia | 14:50

  3. Re: Warum hat Google nicht mit Sun eine...

    mnementh | 14:49

  4. Video on Demand

    Justizia | 14:49

  5. Re: Was ist an den Analogien schwer zu verstehen?

    Geh Nie Tief | 14:49


  1. 14:42

  2. 14:14

  3. 13:35

  4. 13:15

  5. 13:07

  6. 12:45

  7. 12:30

  8. 12:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel