Descoberta primeira campanha de ciberespionagem em português

CyberwarSegurança

O time global de pesquisa e análise (GReAT) da Kaspersky Lab descobriu o grupo Poseidon, uma campanha de ciberespionagem com avançadas técnicas e ainda ativa em âmbito mundial que está em atuação desde meados de 2005.

O grande diferencial desse grupo é fato dele vender malware personalizado com certificados digitais ilegais para roubar dados sensíveis das vítimas. Além disso, ele foi desenvolvido com o propósito específico de atingir máquinas com as versões do Windows em inglês e português do Brasil, caracterizando assim a primeira campanha de ataque direcionado desenvolvida nesse idioma.

Pelo menos 35 empresas já foram identificadas como alvos primários, e elas são instituições financeiras, governamentais, de telecomunicações, indústrias, companhias de energia e outras empresas de serviços, assim como companhias de mídia e relações públicas. Os especialistas da Kaspersky Lab detectaram ataques contra empresas de serviços que atendem altos executivos.

As vítimas deste grupo estão localizadas nos Estados Unidos, França, Cazaquistão, nos Estados Árabes Unidos, Índia e Rússia. Porém, a propagação das infecções está fortemente direcionada para o Brasil, onde muitas das vítimas operam via joint ventures ou parcerias.

Uma das características do grupo Poseidon é a exploração ativa de domínios de redes corporativas. De acordo com o relatório analítico da Kaspersky Lab, os criminosos confiam em e-mails de phishing com arquivos RTF/DOC, geralmente com temas falsos de recursos humanos, que ao serem abertos, injetam códigos binário malicioso no sistema corporativo. Outra conclusão é a presença de strings (sequência de códigos) na língua portuguesa do Brasil.

O grupo tem preferência por sistemas em português, como revelado pelas amostras, e é uma prática que nunca tinha sido vista.

Uma vez que o computador foi infectado, o malware avisa os servidores de comando e controle (C&C) antes de iniciar uma complexa fase de movimentos laterais. Esta fase ativará frequentemente uma ferramenta especializada que coleta, automaticamente e de forma agressiva, uma grande variedade de informações, que incluem credenciais, políticas de gerenciamento de grupo e até mesmo logs do sistema para aprimorar futuros ataques e garantir a execução do malware. Ao fazer isto, os criminosos sabem que aplicações e comandos podem ser executados sem chamar a atenção do administrador de rede durante a infiltração e movimentos laterais.

As informações coletadas são então usadas com objetivos comerciais para chantagear as companhias vítimas a contratarem o grupo Poseidon como consultores de segurança, sob a ameaça de usar os dados roubados em uma série de contratos ilegais para beneficiar o grupo.

“A quadrilha Poseidon opera há mais de 10 anos em todos os domínios: terra, ar e mar. Alguns desses centros de controle e comando foram encontrados dentro de provedores de internet que atendem navios em alto mar, assim como, conexões sem fio dentro de operadoras tradicionais”, afirma Dmitry Bestuzhev, diretor do time GReAT na América Latina.


Clique para ler a bio do autor  Clique para fechar a bio do autor