Жертвами кибергруппировки Poseidon стали финансовые, телекоммуникационные, промышленные и энергетические компании, госучреждения, СМИ, PR-агентства и кейтеринговые службы, клиентами которых являются топ-менеджеры корпораций. По данным «Лаборатории Касперского», уже пострадали как минимум 35 организаций в России, Казахстане, США, Франции, ОАЭ и Индии.
Кампания кибершпионажа также затронула Бразилию, где у многих жертв есть партнеры или совместные предприятия. Любопытно, что в качестве основного языка группировка использует бразильский вариант португальского, сообщается на сайте «Лаборатории Касперского».
Poseidon крадет конфиденциальную информацию у компаний по всему миру, в том числе России, как минимум с 2005 года. Под угрозой перепродажи засекреченных данных кибергруппировка требует заключения с ней контракта на предоставление консалтинговых услуг по информационной безопасности.
Особый интерес злоумышленники проявляют к внутрикорпоративным сетям на основе доменов. Для атак используется специально разработанное вредоносное ПО, подписанное поддельными цифровыми сертификатами. Чаще всего оно проникает в систему с помощью фишинговых писем с RTF- и DOC-вложениями, приходящих обычно в виде уведомлений от HR-служб. После закрепления в системе вредоносное ПО собирает большое количество конфиденциальных данных, в том числе финансовых.
«Эта кибергруппировка, остававшаяся неизвестной в течение многих лет, ищет жертв в самых разных отраслях. Например, мы обнаружили ряд командных серверов Poseidon в инфраструктуре интернет-провайдеров, обслуживающих морские суда, — рассказывает руководитель латиноамериканского исследовательского центра „Лаборатории Касперского“ Дмитрий Бестужев. — Для сокрытия следов своей деятельности злоумышленники использовали целый ряд хитроумных инструментов, включая обнаруженные нами зловреды с очень коротким жизненным циклом».