Abo
  • Services:
Anzeige
Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken

Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Eine besonders hartnäckige Gruppe von Online-Kriminellen greift seit mehr als zehn Jahren große Organisationen an. Auf dem Security Analyst Summit hat das Sicherheitsunternehmen Kaspersky Labs erstmals öffentlich über die Poseidon-Gruppe gesprochen.

Sicherheitsexperten von Kaspersky Labs sind einer Gruppe von Cyberkriminellen auf die Spur gekommen, die seit Anfang der 2000er gezielt multinationale Organisationen angreift und deren Netzwerke infiltriert. Auf der Hausmesse der Kaspersky Labs, dem Security Analyst Summit auf Teneriffa, haben die Sicherheitsexperten Dmitry Bestuzhev, Juan Andres Guerrero-Saade und Santiago Pontiroli ihre Erkenntnisse über die sogenannte Poseidon-Gruppe erstmals öffentlich vorgestellt.

Anzeige

Die Gruppe trägt den Namen des griechischen Meeresgottes Poseidon, da es ihr gelungen ist, Zugriff auf Satelliten-Kommunikation zu erlangen. Die entsprechenden Satelliten bringen das Internet an die abgelegensten Orte der Welt, etwa auf das Meer. Somit konnte ein Teil der Angriffe "mitten aus dem Ozean" durchgeführt werden. Eigentlich ist diese Kommunikation für Schiffe oder Reedereien vorgesehen, allerdings scheint es der Gruppe bei einem früheren Beutezug gelungen zu sein, eines solchen Systems habhaft zu werden.

In einem nächsten Schritt hat sie es für ihre eigene Zwecke genutzt und konnte damit die Sicherheitsexperten eine ganze Zeit verwirren - schließlich kommen gewöhnliche Angreifer nicht aus dem Meer, sondern die IP-Adressen lassen sich zumindest Ländern zuordnen. In Einzelfällen wurde sogar der Zugriff aus der Luft genutzt - alles mit dem Ziel, die eigentliche Herkunft zu verschleiern. Damit ist die Poseidon-Gruppe eine der ersten, die Internetzugänge vom Land, vom Wasser und aus der Luft nutzte.

Spear-Phishing und verschlüsselte Viren

Nicht nur bei der Verwendung der Infrastruktur geht die Gruppe sehr vorsichtig vor, sondern auch bei den Angriffen. Laut den Sicherheitsexperten ist die erste Angriffsphase meist die Versendung von Bewerbungsunterlagen an Personen aus der HR-Abteilung, ein sogenannter Spear-Phishing-Angriff. Die versendeten Unterlagen wirken auf den ersten Blick sehr überzeugend, sie lassen sich kaum von gewöhnlichen Bewerbungen unterscheiden, sind allerdings mit einem schädlichen Macro-Code gespickt. Wird dieser Macro-Code ausgeführt, sammelt ein Programm weitere Informationen über das Netzwerk, versendet diese an den Angreifer und empfängt anschließend gezielt Funktionen für das weitere Vorgehen, die auf die Systemumgebung abgestimmt sind.

In Einzelfällen wurden bereits in dieser Phase Filter umgangen, beispielsweise indem die übersendeten Word-Dateien verschlüsselt wurden. Ein Sicherheitssystem, etwa ein Virenscanner eines E-Mail-Servers, hat dadurch keine Möglichkeit, die Datei zu scannen. Ein Mensch könnte die Datei allerdings aus Neugier mit dem in der E-Mail genannten Passwort öffnen und dadurch ungewollt die Pforte für die Angreifer öffnen. Selbst wenn verschlüsselte Word-Dateien durch sogenanntes Blacklisting in Sicherheitssystemen nicht erlaubt waren, gelang den Angreifern der Zugriff. Sie nutzen wri-Dateien (Windows Write Document), diese wurden von einem Großteil der Sicherheitslösungen außer Acht gelassen, da es sich um ein altes und nicht sonderlich bekanntes Dateiformat handelt, welches allerdings auch die Ausführung von Code ermöglichte und mit Microsoft Word geöffnet werden kann.

Zahlreiche multinationale Unternehmen betroffen 

eye home zur Startseite
Tim Schäfers 12. Feb 2016

Vielen Dank für den Hinweis - da ist uns in der Tat ein Fehler unterlaufen. Seit gestern...

Tim Schäfers 10. Feb 2016

Das sind weder Vermutungen noch Tatsachen - sondern Erfahrungswerte aus früheren Fällen...



Anzeige

Stellenmarkt
  1. SKS Unternehmensberatung GmbH & Co. KG, Hochheim am Main
  2. Max-Planck-Institut für Plasmaphysik, Greifswald
  3. ORANGE Engineering, Berlin
  4. über TOPOS Personalberatung GmbH, Norddeutschland


Anzeige
Top-Angebote
  1. (mehr als 2.500 reduzierte Titel)
  2. (u. a. The Hateful 8, Der Marsianer, London Has Fallen, Kingsman, Avatar)
  3. (Rabattcode: MB10)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  2. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  3. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  4. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  5. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  6. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  7. Internetzensur

    China macht VPN genehmigungspflichtig

  8. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  9. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  10. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

  1. Re: Hyperloop BUSTED!

    Ach | 19:52

  2. Re: Schade, dass es keinen Kommunismus in China gibt

    Moe479 | 19:51

  3. Re: Endlich dem Trend gefolgt...

    letz | 19:47

  4. Re: Zukunft ist die gute alte EISEN-bahn

    Eheran | 19:45

  5. Das' ja der Nackte...

    Der.Dave | 19:41


  1. 18:19

  2. 17:28

  3. 17:07

  4. 16:55

  5. 16:49

  6. 16:15

  7. 15:52

  8. 15:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel