by: Sascha KuhrauPosted on:

Der Poseidon-Support

Seit über einem Jahr­zehnt soll eine Hacker-Grup­pe unter dem Namen Posei­don mit maß­ge­schnei­der­te Atta­cken mehr oder weni­ger unent­deckt Comp­ter­sys­te­me von Behör­den und Unter­neh­men infil­trie­ren. Sicher­heits­exper­ten von Kas­pers­ky haben ver­schie­de­ne Hin­wei­se erhal­ten und zusam­me­ge­fügt. So soll Posei­don min­des­tens seit 2005 Ihr Unwe­sen trei­ben. Haupt­zie­le sind wohl die Berei­che Finan­zen, PR und Medi­en, sowie staat­li­che Ein­rich­tun­gen. Min­des­tens 35 erfolg­rei­che Infek­tio­nen wur­den bis­her nach­ge­wie­sen. Die Ana­ly­se erweist sich als recht kom­plex, da die Grup­pe ihre Spu­ren sehr gut ver­wischt.

Die Vor­ge­hens­wei­se von Posei­don

Zu Beginn ste­hen per­so­na­li­sier­te Emails mit prä­pa­rier­ten Word- und RTF-Datei-Anhän­gen. Wer­den die­se geöff­net, geschieht die Infek­ti­on mit­tels Makros. Nun sam­melt die Mal­wa­re Zugangs­da­ten, aber auch Infor­ma­tio­nen aus den Grup­pen­richt­li­ni­en. Die­se wer­den an den Steue­rungs­ser­ver von Posei­don gesendt. Auf Basis der durch den ers­ten Hack gesam­mel­ten Infor­ma­tio­nen wer­den nun ziel­ge­rich­tet Tro­ja­ner ent­wi­ckelt und ein­ge­setzt, um die Orga­ni­sa­ti­on wei­ter zu infil­trie­ren.

Im Anschluss wird den Betrof­fe­nen “Sup­port” sei­tens der Hacker-Grup­pe Posei­don ange­bo­ten. Getarnt als Sicher­heits­be­ra­ter soll das betrof­fe­ne Netz­werk gerei­nigt wer­den. Gibt sich die betrof­fe­ne Orga­ni­sa­ti­on unein­sich­tig, wer­den die vor­her durch den Hack abge­zo­ge­nen Infor­ma­tio­nen als Druck­mit­tel ein­ge­setzt.

Wie­so Posei­don?

Laut eines Berichts von heise.de nutz­te die Hacker-Grup­pe ein Satel­li­ten­sys­tem, das der Kom­mu­ni­ka­ti­on in der See­fahrt dient. Da lag es nahe, den Namen des grie­chi­schen Mee­res­got­tes aus­zu­wäh­len.

Wel­che Sys­te­me sind betrof­fen?

Zum Zeit­punkt des Erschei­nens des Arti­kels sol­len alle Ver­sio­nen von Widows 95 bis Win­dows 8.1 anfäl­lig sein. Da die Tro­ja­ner wei­ter­ent­wi­ckelt wer­den, soll­te man sich nach einem Umstieg auf Win­dows 10 nicht zu sicher füh­len.

Was kann ich tun?

Vor­beu­gend soll­ten — wie auch im Rah­men der aktu­el­len Bedro­hung durch Ran­som­wa­re wie Tes­lacrypt und Locky — alle Mit­ar­bei­ter kon­ti­nu­ier­lich für das The­ma Risi­ko durch infi­zier­te Datei­an­hän­ge sen­si­bi­li­siert wer­den. Auch Qua­ran­tä­ne-Zonen für Anhän­ge kön­nen ein pro­ba­tes Mit­tel sein, das Risi­ko zumin­dest zu mini­mie­ren.