یازده ارائه دهنده سرویس مخابراتی در اوکراین مورد حمله سایبری قرار گرفتند

این حملات به دلیل استفاده از دو برنامه تخصصی به نام‌های POEMGATE و POSEIDON قابل توجه هستند که سرقت گوای‌های اعتبار و کنترل از راه دور میزبان‌های آلوده را امکان‌پذیر می‌کنند. مهاجمان در واقع یک ماژول PAM مخرب (که با نام POEMGATE دنبال می‌شود) را بر روی سرور نصب می‌کنند که امکان احراز هویت با یک رمز عبور استاتیک تعریف شده را فراهم می‌آورد و لاگین‌ها و رمز عبورهای وارد شده در حین احراز هویت را در یک فایل بصورت رمزگذاری شده با XOR ذخیره می‌کند. چنین بکدورهایی از پیش نصب می‌شوند و داده‌های احراز هویت Admin را جمع آوری خواهند کرد که به نوبه خود اغلب برای دسترسی به سایر تجهیزات سرور و شبکه مورد استفاده واقع می‌شوند.

علاوه بر این، نسخه‌ای از برنامه POSEIDON (“/lib/x86_64-linux-gnu/libs.so”) را می‌توان بر روی سرور نصب کرد که عملکرد آن شامل طیف کاملی از ابزارهای کنترل از راه دور رایانه است. در عین حال، تداوم دسترسی نیز توسط POSEIDON با جایگزینی (اصلاح) فایل باینری قانونی usr/sbin/cron” /” تضمین می‌شود، که در ساختار آن کد برنامه‌ای اضافه شده است که یک جریان با آرگومان (start_routine) در آن ایجاد می‌کند.