Abo
  • Services:

Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken

Eine besonders hartnäckige Gruppe von Online-Kriminellen greift seit mehr als zehn Jahren große Organisationen an. Auf dem Security Analyst Summit hat das Sicherheitsunternehmen Kaspersky Labs erstmals öffentlich über die Poseidon-Gruppe gesprochen.

Artikel von Tim Philipp Schäfers veröffentlicht am
Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Sicherheitsexperten von Kaspersky Labs sind einer Gruppe von Cyberkriminellen auf die Spur gekommen, die seit Anfang der 2000er gezielt multinationale Organisationen angreift und deren Netzwerke infiltriert. Auf der Hausmesse der Kaspersky Labs, dem Security Analyst Summit auf Teneriffa, haben die Sicherheitsexperten Dmitry Bestuzhev, Juan Andres Guerrero-Saade und Santiago Pontiroli ihre Erkenntnisse über die sogenannte Poseidon-Gruppe erstmals öffentlich vorgestellt.

Inhalt:
  1. Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken
  2. Zahlreiche multinationale Unternehmen betroffen

Die Gruppe trägt den Namen des griechischen Meeresgottes Poseidon, da es ihr gelungen ist, Zugriff auf Satelliten-Kommunikation zu erlangen. Die entsprechenden Satelliten bringen das Internet an die abgelegensten Orte der Welt, etwa auf das Meer. Somit konnte ein Teil der Angriffe "mitten aus dem Ozean" durchgeführt werden. Eigentlich ist diese Kommunikation für Schiffe oder Reedereien vorgesehen, allerdings scheint es der Gruppe bei einem früheren Beutezug gelungen zu sein, eines solchen Systems habhaft zu werden.

In einem nächsten Schritt hat sie es für ihre eigene Zwecke genutzt und konnte damit die Sicherheitsexperten eine ganze Zeit verwirren - schließlich kommen gewöhnliche Angreifer nicht aus dem Meer, sondern die IP-Adressen lassen sich zumindest Ländern zuordnen. In Einzelfällen wurde sogar der Zugriff aus der Luft genutzt - alles mit dem Ziel, die eigentliche Herkunft zu verschleiern. Damit ist die Poseidon-Gruppe eine der ersten, die Internetzugänge vom Land, vom Wasser und aus der Luft nutzte.

Spear-Phishing und verschlüsselte Viren

Nicht nur bei der Verwendung der Infrastruktur geht die Gruppe sehr vorsichtig vor, sondern auch bei den Angriffen. Laut den Sicherheitsexperten ist die erste Angriffsphase meist die Versendung von Bewerbungsunterlagen an Personen aus der HR-Abteilung, ein sogenannter Spear-Phishing-Angriff. Die versendeten Unterlagen wirken auf den ersten Blick sehr überzeugend, sie lassen sich kaum von gewöhnlichen Bewerbungen unterscheiden, sind allerdings mit einem schädlichen Macro-Code gespickt. Wird dieser Macro-Code ausgeführt, sammelt ein Programm weitere Informationen über das Netzwerk, versendet diese an den Angreifer und empfängt anschließend gezielt Funktionen für das weitere Vorgehen, die auf die Systemumgebung abgestimmt sind.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Fresenius Medical Care Deutschland GmbH, St. Wendel

In Einzelfällen wurden bereits in dieser Phase Filter umgangen, beispielsweise indem die übersendeten Word-Dateien verschlüsselt wurden. Ein Sicherheitssystem, etwa ein Virenscanner eines E-Mail-Servers, hat dadurch keine Möglichkeit, die Datei zu scannen. Ein Mensch könnte die Datei allerdings aus Neugier mit dem in der E-Mail genannten Passwort öffnen und dadurch ungewollt die Pforte für die Angreifer öffnen. Selbst wenn verschlüsselte Word-Dateien durch sogenanntes Blacklisting in Sicherheitssystemen nicht erlaubt waren, gelang den Angreifern der Zugriff. Sie nutzen wri-Dateien (Windows Write Document), diese wurden von einem Großteil der Sicherheitslösungen außer Acht gelassen, da es sich um ein altes und nicht sonderlich bekanntes Dateiformat handelt, welches allerdings auch die Ausführung von Code ermöglichte und mit Microsoft Word geöffnet werden kann.

Zahlreiche multinationale Unternehmen betroffen 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  2. 26,99€
  3. 20,99€
  4. 39,99€

Folgen Sie uns
       


Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

Filmkritik Ready Player One: Der Videospielfilm mit Nostalgiemacke
Filmkritik Ready Player One
Der Videospielfilm mit Nostalgiemacke

Steven Spielbergs Ready Player One ist eine Buchadaption - und die Videospielverfilmung schlechthin. Das liegt nicht nur an prominenten Statisten wie Duke Nukem und Chun-Li. Neben Action und Popkulturreferenzen steht im Mittelpunkt ein Konflikt zwischen leidenschaftlichen Gamern und gierigem Branchenriesen. Etwas Technologieskepsis und Nostalgiekritik hätten der Handlung jedoch gutgetan.
Eine Rezension von Daniel Pook

  1. Filmkritik Tomb Raider Starke Lara, schwacher Film
  2. Filmkritik Auslöschung Wenn die Erde außerirdisch wird
  3. Vorschau Kinofilme 2018 Lara, Han und Player One

Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle
Facebook-Anhörung
Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des Öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat.
Eine Analyse von Friedhelm Greis

  1. Facebook Messenger Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht
  2. Böswillige Akteure Die meisten der zwei Milliarden Facebook-Profile ausgelesen
  3. DSGVO Zuckerberg will EU-Datenschutz nicht weltweit anwenden

    •  /