{"id":7441,"date":"2016-02-09T10:19:39","date_gmt":"2016-02-09T10:19:39","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=7441"},"modified":"2020-02-26T17:30:21","modified_gmt":"2020-02-26T15:30:21","slug":"poseidon-apt-boutique","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/poseidon-apt-boutique\/7441\/","title":{"rendered":"Il dominio di Poseidon"},"content":{"rendered":"<p>Sono finiti i tempi in cui gli hacker creavano virus solo per divertimento. Oggi il malware non serve semplicemente a bloccare un PC, com\u2019era una volta, ma piuttosto ad arricchire chi crea il malware e infetta il vostro computer. Il crimine informatico \u00e8 un\u2019industria\u00a0a s\u00e9 stante con entit\u00e0 grandi e piccole. I nostri esperti del Team GReAT ne hanno individuata un\u2019altra, che hanno chiamato gruppo Poseidon. La loro ricerca al riguardo \u00e8 stata presentata al <a href=\"https:\/\/www.kaspersky.it\/blog\/?s=security+analyst+summit&amp;submit=Search\" target=\"_blank\" rel=\"noopener\">Security Analyst Summit 2016<\/a>.<\/p>\n<p><strong><\/strong><\/p>\n<p>Nonostante se ne sia parlato solo quest\u2019anno, ovvero nel 2016, il gruppo non \u00e8 affatto nuovo. Le sue campagne sembrano essere attive fin dal 2005. Il primo campione trovato risale al 2001: Poseidon punta solo a computer con sistema operativo Windows, che vanno da Windows 95 a, pi\u00f9 recentemente, Windows 8.1 e Windows Server 2012. Il gruppo ha una speciale predilezione per le reti basate sul dominio, tipiche delle grandi compagnie e aziende.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233241\/poseidon-live-photo.jpg\" alt=\"\" width=\"1280\" height=\"768\"><\/p>\n<h3><strong>Come colpisce Poseidon<\/strong><\/h3>\n<p>In genere, l\u2019attacco inizia con lo spear phishing: il termine indica il comune phishing, rivolto a individui specifici senza l\u2019impiego di alcuna campagna di spam di massa. Di solito, ci\u00f2 significa che i criminali ricorrono all\u2019<a href=\"https:\/\/www.kaspersky.it\/blog\/ingegneria-sociale-ovvero-come-hackerare-il-sistema-operativo-umano\/2266\/\" target=\"_blank\" rel=\"noopener\">ingegneria sociale<\/a> per convincere la vittima ad aprire un\u2019email nociva.<\/p>\n<p>Una volta che la vittima ha scaricato il file dannoso, di solito un documento DOC o RTF che contiene malware, il computer \u00e8 compromesso. Poseidon pu\u00f2 potenzialmente far saltare l\u2019allarme di molti anti-virus; ecco perch\u00e9 deve cercare di nascondersi da essi o deve mettere in atto strategie di attaco come forma di autodifesa.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Come and see the very first publicly known English-Portuguese speaking targeted campaign <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/WhoIsPoseidon?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#WhoIsPoseidon<\/a> <a href=\"https:\/\/t.co\/kRbprLA4PD\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/kRbprLA4PD<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/695610810517872641?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 5, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Dopo, il malware installato sul PC stabilisce una connessione con un server di command-and-control. Gli aggressori agiscono con un movimento laterale, raccogliendo un sacco di dati, cercando di usare a proprio vantaggio i privilegi d\u2019accesso e di mappare la rete per trovare proprio il PC che stanno cercando. Il loro bersaglio principale \u00e8 in genere il server Windows Domain Control e l\u2019obiettivo primario \u00e8 rubare propriet\u00e0 intellettuale, segreti industriali e altri dati commerciali importanti.<\/p>\n<p>Questi attacchi sono altamente personalizzati. Nonostante la fase iniziale sia in genere la stessa, tutto ci\u00f2 che avviene dopo \u00e8 progettato specificatamente e personalmente per ogni vittima: ecco perch\u00e9 il team GReAT ha deciso di definire Poseidon un \u201cmalware implant boutique su misura\u201d capace quindi di piazzare impianti malware in modo personalizzato. Questa \u00e8 anche la ragione principale per cui c\u2019\u00e8 voluto cos\u00ec tanto per mettere insieme le tessere del puzzle e per capire che tutti gli attacchi all\u2019apparenza scollegati, erano in realt\u00e0 attuati da un gruppo che si nasconde nell\u2019ombra.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">So who is Poseidon? <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Whoisposeidon?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Whoisposeidon<\/a> <a href=\"https:\/\/t.co\/n9bdWP4HYE\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/n9bdWP4HYE<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/696700193866174464?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 8, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Le informazioni raccolte erano di norma utilizzate per ricattare le vittime e convincerle ad acquisire Poseidon come soluzione di sicurezza. A volte questo non impediva di continuare l\u2019attacco o di iniziarne uno nuovo rivolto alla stessa compagnia. La campagna, probabilmente, non \u00e8 finanziata dallo stato, in quanto ha mostrato interesse solo nel raccogliere dati commerciali di grande valore. Riteniamo inoltre, che le informazioni spesso fossero vendute a parti terze interessate e con abbastanza denaro per pagarle.<\/p>\n<p>I <a href=\"https:\/\/www.kaspersky.com\/it\/internet-security?redef=1&amp;reseller=it_kiskldit_oth_ona_smm__onl_b2c__lnk_______\" target=\"_blank\" rel=\"noopener nofollow\">prodotti Kaspersky Lab<\/a> conoscono tutte le minacce Poseidon e le rilevano come <em>Backdoor.Win32.Nhopro, HEUR:Backdoor.Win32.Nhopro.gen or HEUR:Hacktool.Win32.Nhopro.gen<\/em>.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Poseidon: un malware implant boutique personalizzato #TheSAS2016<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fa33E&amp;text=+Poseidon%3A+un+malware+implant+boutique+personalizzato+%23TheSAS2016+\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>La particolarit\u00e0 di Poseidon risiede nell\u2019essere la prima entit\u00e0 nel mercato APT a prendere di mira soprattutto le compagnie di lingua portoghese o le aziende che hanno joint venture in Brasile. Ci sono anche vittime in Francia, India, Kazakistan, Russia, Emirati Arabi e Stati Uniti.<\/p>\n<p>Ad oggi ne conosciamo almeno 35, incluse istituzioni finanziarie e governative, compagnie energetiche, delle telecomunicazioni e manifatturiere, agenzie di media e pubbliche relazioni. Poich\u00e9 a causa del loro approccio personalizzato e riservato, \u00e8 difficile distinguere un attacco del gruppo Poseidon da altri attacchi malware, i ricercatori di GReAT ritengono ci siano pi\u00f9 vittime, al momento impossibili da identificare.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">48 hours to reveal <a href=\"https:\/\/twitter.com\/hashtag\/WhoIsPoseidon?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#WhoIsPoseidon<\/a><br>Come and see <a href=\"https:\/\/t.co\/E3RDQzlSez\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/E3RDQzlSez<\/a> <br>At <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a><\/p>\n<p>\u2014 Dmitry Bestuzhev (@dimitribest) <a href=\"https:\/\/twitter.com\/dimitribest\/status\/696264670546505729?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 7, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Kaspersky Lab sta lavorando insieme alle vittime conosciute di infezione attiva fornendo assistenza e relazioni informative per aiutarle a contrastare la minaccia. Siamo riusciti a chiudere molti server command-and-control, ma il gruppo Poseidon ha l\u2019abitudine di cambiarli spesso e quindi per adesso rimane attivo.<\/p>\n<p>La campagna informatica \u00e8 un buon esempio di quanto siano importanti per le grandi aziende delle adeguate politiche sulla sicurezza dell\u2019informazione e le soluzioni di sicurezza. Rimanete connessi per saperne di pi\u00f9 sulle ATP scoperte di recente, perch\u00e9 al SAS 2016 dedicheremo molta attenzione a questo particolare argomento.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Al SAS 2016 i ricercatori di Kaspersky Lab discutono del gruppo Poseidon da poco scoperto, un malware APT boutique personalizzato a caccia di dati di interesse commerciale. Scoprine di pi\u00f9 qui!<\/p>\n","protected":false},"author":696,"featured_media":7442,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12,2642],"tags":[592,682,22,638,1832,95,1814,1828,23],"class_list":{"0":"post-7441","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-apt","11":"tag-great","12":"tag-malware-2","13":"tag-minacce","14":"tag-poseidon","15":"tag-ricerca","16":"tag-sas-2016","17":"tag-thesas2016","18":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/poseidon-apt-boutique\/7441\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/poseidon-apt-boutique\/6664\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/poseidon-apt-boutique\/6742\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/poseidon-apt-boutique\/6650\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/poseidon-apt-boutique\/7705\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/poseidon-apt-boutique\/10796\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/poseidon-apt-boutique\/11264\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/poseidon-apt-boutique\/6967\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/poseidon-apt-boutique\/10328\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/poseidon-apt-boutique\/10796\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/poseidon-apt-boutique\/11264\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/poseidon-apt-boutique\/11264\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=7441"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7441\/revisions"}],"predecessor-version":[{"id":20696,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7441\/revisions\/20696"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/7442"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=7441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=7441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=7441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}