История группировки кибершпионажа Посейдон похожа на шпионский боевик, причем снятый в тропиках. Обнаруженный сетевой синдикат представляет из себя частную разведывательную организацию, которая за огромные деньги аккуратно крадет и перепродает секретные данные из крупных корпораций, а иногда и сама занимается шантажом и вымогательством. Целью Poseidon являются коммерческие тайны, объекты интеллектуальной собственности, секретные разработки, планы по освоению новых рынков — в общем финансовые и промышленные сокровища. Группировка работает больше 10 лет — первый образец зловредного кода, используемого Poseidon, датируется еще 2001-м годом. Но все эти годы никто о ней даже не догадывался. Обнаружили Poseidon совершенно случайно.

"В прошлом году мы наткнулись на два сэмпла связанных с пиар агентствами ведущими. В них мы нашли такой процесс, который можно сравнить с замусориванием кода. Это очень уникальный процесс — это как почерк человека. По этому почерку мы нашли другие сэмплы, которые привели к организациям, которые работают с энергоресурсами, поставляют электричество газ, нефть, медийные каналы. И мы начали расследование кейса. И обнаружили, что это структура. Мы назвали ее бутик, потому что они занимаются разработкой вредоносного кода по просьбе клиента, то есть это ручная работа", — пояснил Дмитрий Бестужев, руководитель латиноамериканского исследовательского центра "Лаборатории Касперского".

Схема работы грациозно проста: зловредный код пробирается на компьютер жертвы в письме, имитирующем внутреннюю переписку. И устанавливает уже чистую программу, которой пользуются даже сисадмины, просто она заточена еще на передачу данных злоумышленникам. Когда такая утилита установлена, сами киберпреступники уничтожают самый первый вредоносный код, стирают свои следы. Эксперты признались, что настолько тонко был проработан каждый образец зловредного кода, что его обнаружить было практически невозможно. По их словам, каждая атака Poseidon настолько тщательно готовилась, каждая установленная программа настолько адаптировалась к особенностям жертвы, что антивирусные специалисты просто не видели ничего общего в разрозненных инцидентах, которые в итоге оказались частью единой картины — активностью одной группы злоумышленников, которые занимаются промышленным шпионажем.

"Мелкий и средней бизнес вне опасности. Это только большие корпорации. После заражения начинается эксфильтрация — выгрузка краденных данных на сервера, которые находятся на кораблях. Которые, в свою очередь, используют интернет греческой компании через спутники. И найти эти корабли — которые вчера в Тихом океане, сегодня в Индийском, очень сложно Когда информация собрана, она передается клиенту", — уверен Дмитрий Бестужев, руководитель латиноамериканского исследовательского центра "Лаборатории Касперского".

Жертвами Poseidon стали компании из Португалии, Франции, Индии, Казахстане, России, ОАЭ и США — в общей сложности около 35 жертв. Впрочем, возможно их было много больше. Единственное, в чем почти уверены в лаборатории Касперского, так это в том, что штаб-квартира группировки Poseidon находится в Бразилии — все подсказки из изученных образцов кода ведут именно туда.