Der Poseidon-Support

Seit über einem Jahrzehnt soll eine Hacker-Gruppe unter dem Namen Poseidon mit maß­ge­schnei­der­te Attacken mehr oder weni­ger unent­deckt Comptersysteme von Behörden und Unternehmen infil­trie­ren. Sicherheitsexperten von Kaspersky haben ver­schie­de­ne Hinweise erhal­ten und zusam­me­ge­fügt. So soll Poseidon min­de­stens seit 2005 Ihr Unwesen trei­ben. Hauptziele sind wohl die Bereiche Finanzen, PR und Medien, sowie staat­li­che Einrichtungen. Mindestens 35 erfolg­rei­che Infektionen wur­den bis­her nach­ge­wie­sen. Die Analyse erweist sich als recht kom­plex, da die Gruppe ihre Spuren sehr gut ver­wischt.

Die Vorgehensweise von Poseidon

Zu Beginn ste­hen per­so­na­li­sier­te Emails mit prä­pa­rier­ten Word- und RTF-Datei-Anhängen. Werden die­se geöff­net, geschieht die Infektion mit­tels Makros. Nun sam­melt die Malware Zugangsdaten, aber auch Informationen aus den Gruppenrichtlinien. Diese wer­den an den Steuerungsserver von Poseidon gesendt. Auf Basis der durch den ersten Hack gesam­mel­ten Informationen wer­den nun ziel­ge­rich­tet Trojaner ent­wickelt und ein­ge­setzt, um die Organisation wei­ter zu infil­trie­ren.

Im Anschluss wird den Betroffenen “Support” sei­tens der Hacker-Gruppe Poseidon ange­bo­ten. Getarnt als Sicherheitsberater soll das betrof­fe­ne Netzwerk gerei­nigt wer­den. Gibt sich die betrof­fe­ne Organisation unein­sich­tig, wer­den die vor­her durch den Hack abge­zo­ge­nen Informationen als Druckmittel ein­ge­setzt.

Wieso Poseidon?

Laut eines Berichts von heise.de nutz­te die Hacker-Gruppe ein Satellitensystem, das der Kommunikation in der Seefahrt dient. Da lag es nahe, den Namen des grie­chi­schen Meeresgottes aus­zu­wäh­len.

Welche Systeme sind betrof­fen?

Zum Zeitpunkt des Erscheinens des Artikels sol­len alle Versionen von Widows 95 bis Windows 8.1 anfäl­lig sein. Da die Trojaner wei­ter­ent­wickelt wer­den, soll­te man sich nach einem Umstieg auf Windows 10 nicht zu sicher füh­len.

Was kann ich tun?

Vorbeugend soll­ten — wie auch im Rahmen der aktu­el­len Bedrohung durch Ransomware wie Teslacrypt und Locky — alle Mitarbeiter kon­ti­nu­ier­lich für das Thema Risiko durch infi­zier­te Dateianhänge sen­si­bi­li­siert wer­den. Auch Quarantäne-Zonen für Anhänge kön­nen ein pro­ba­tes Mittel sein, das Risiko zumin­dest zu mini­mie­ren.

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.