Abo
  • Services:
Anzeige
Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Poseidon-Gruppe: Über ein Jahrzehnt internationale Cyberattacken

Poseidon mit seinem Dreizack
Poseidon mit seinem Dreizack (Bild: Hans Andersen/CC-BY-SA 3.0)

Eine besonders hartnäckige Gruppe von Online-Kriminellen greift seit mehr als zehn Jahren große Organisationen an. Auf dem Security Analyst Summit hat das Sicherheitsunternehmen Kaspersky Labs erstmals öffentlich über die Poseidon-Gruppe gesprochen.
Von Tim Philipp Schäfers

Sicherheitsexperten von Kaspersky Labs sind einer Gruppe von Cyberkriminellen auf die Spur gekommen, die seit Anfang der 2000er gezielt multinationale Organisationen angreift und deren Netzwerke infiltriert. Auf der Hausmesse der Kaspersky Labs, dem Security Analyst Summit auf Teneriffa, haben die Sicherheitsexperten Dmitry Bestuzhev, Juan Andres Guerrero-Saade und Santiago Pontiroli ihre Erkenntnisse über die sogenannte Poseidon-Gruppe erstmals öffentlich vorgestellt.

Anzeige

Die Gruppe trägt den Namen des griechischen Meeresgottes Poseidon, da es ihr gelungen ist, Zugriff auf Satelliten-Kommunikation zu erlangen. Die entsprechenden Satelliten bringen das Internet an die abgelegensten Orte der Welt, etwa auf das Meer. Somit konnte ein Teil der Angriffe "mitten aus dem Ozean" durchgeführt werden. Eigentlich ist diese Kommunikation für Schiffe oder Reedereien vorgesehen, allerdings scheint es der Gruppe bei einem früheren Beutezug gelungen zu sein, eines solchen Systems habhaft zu werden.

In einem nächsten Schritt hat sie es für ihre eigene Zwecke genutzt und konnte damit die Sicherheitsexperten eine ganze Zeit verwirren - schließlich kommen gewöhnliche Angreifer nicht aus dem Meer, sondern die IP-Adressen lassen sich zumindest Ländern zuordnen. In Einzelfällen wurde sogar der Zugriff aus der Luft genutzt - alles mit dem Ziel, die eigentliche Herkunft zu verschleiern. Damit ist die Poseidon-Gruppe eine der ersten, die Internetzugänge vom Land, vom Wasser und aus der Luft nutzte.

Spear-Phishing und verschlüsselte Viren

Nicht nur bei der Verwendung der Infrastruktur geht die Gruppe sehr vorsichtig vor, sondern auch bei den Angriffen. Laut den Sicherheitsexperten ist die erste Angriffsphase meist die Versendung von Bewerbungsunterlagen an Personen aus der HR-Abteilung, ein sogenannter Spear-Phishing-Angriff. Die versendeten Unterlagen wirken auf den ersten Blick sehr überzeugend, sie lassen sich kaum von gewöhnlichen Bewerbungen unterscheiden, sind allerdings mit einem schädlichen Macro-Code gespickt. Wird dieser Macro-Code ausgeführt, sammelt ein Programm weitere Informationen über das Netzwerk, versendet diese an den Angreifer und empfängt anschließend gezielt Funktionen für das weitere Vorgehen, die auf die Systemumgebung abgestimmt sind.

In Einzelfällen wurden bereits in dieser Phase Filter umgangen, beispielsweise indem die übersendeten Word-Dateien verschlüsselt wurden. Ein Sicherheitssystem, etwa ein Virenscanner eines E-Mail-Servers, hat dadurch keine Möglichkeit, die Datei zu scannen. Ein Mensch könnte die Datei allerdings aus Neugier mit dem in der E-Mail genannten Passwort öffnen und dadurch ungewollt die Pforte für die Angreifer öffnen. Selbst wenn verschlüsselte Word-Dateien durch sogenanntes Blacklisting in Sicherheitssystemen nicht erlaubt waren, gelang den Angreifern der Zugriff. Sie nutzen wri-Dateien (Windows Write Document), diese wurden von einem Großteil der Sicherheitslösungen außer Acht gelassen, da es sich um ein altes und nicht sonderlich bekanntes Dateiformat handelt, welches allerdings auch die Ausführung von Code ermöglichte und mit Microsoft Word geöffnet werden kann.

Zahlreiche multinationale Unternehmen betroffen 

eye home zur Startseite
Tim Schäfers 12. Feb 2016

Vielen Dank für den Hinweis - da ist uns in der Tat ein Fehler unterlaufen. Seit gestern...

Tim Schäfers 10. Feb 2016

Das sind weder Vermutungen noch Tatsachen - sondern Erfahrungswerte aus früheren Fällen...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Computacenter AG & Co. oHG, Leverkusen
  3. operational services GmbH & Co. KG, München / Ottobrunn
  4. Schwarz Zentrale Dienste KG, Neckarsulm


Anzeige
Hardware-Angebote
  1. bei Alternate
  2. (diverse Modelle von MSI, ASUS, ASRock und Gigabyte lagernd)
  3. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  2. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  3. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  4. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  5. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  6. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  7. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  8. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  9. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  10. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Und von mir wird es offiziell erst mal ignoriert

    teenriot* | 05:37

  2. kann man nur hoffen, dass die getrackten Bugs...

    Poison Nuke | 05:01

  3. erinnert mich an einen Webcomic

    Crass Spektakel | 04:40

  4. Re: eh alles Mumpitz...

    Rulf | 04:11

  5. Re: Perfektionierung

    ML82 | 03:57


  1. 21:08

  2. 19:00

  3. 18:32

  4. 17:48

  5. 17:30

  6. 17:15

  7. 17:00

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel