Grupo de hackers desenvolve ataque de ciberespionagem para o Brasil
O grupo de pesquisadores da empresa de segurança Kaspersky Lab descobriu uma campanha de ciberespionagem com avançadas técnicas que está em atuação desde meados de 2005. O grupo por trás da campanha é o Poseidon, que tem como principal diferencial o fato de comercializar malwares personalizados com certificados digitais ilegais para roubar dados sensíveis das vítimas, que serão utilizados para coagi-las a estabelecer uma relação de negócios com o grupo. O alvo do grupo de hackers é atingir máquinas com versões do Windows em inglês e português do Brasil, caracterizando a primeira campanha de ataque direcionado desenvolvida nesse idioma.
Já foram identificadas pelo menos 35 empresas como alvos primários. Entre elas estão instituições financeiras, governamentais, telecomunicações, indústrias, companhias de energia e outras empresas de serviços, bem como companhias de mídia e relações públicas. As vítimas estão localizadas em diversos países, mas a propagação das infecções está fortemente direcionada para o Brasil, onde muitas das vítimas operam via joint ventures ou parcerias.
O grupo Poseidon tem como uma de suas características a exploração ativa de domínios de redes corporativas. Segundo um relatório da Kaspersky Lab, os criminosos confiam em e-mails de phishing com arquivos RTF/DOC, geralmente com temas de recursos humanos, que ao serem abertos injetam códigos binário maliciosos no sistema corporativo. Outra conclusão é a presença de strings na língua portuguesa do Brasil. O grupo tem como preferência sistemas em português, como revelado pelas amostras, sendo uma prática que nunca tinha sido vista.
Uma vez que o computador é infectado, o malware avisa os servidores de comando e controle antes de iniciar uma complexa fase de movimentos laterais. Esta fase ativará frequentemente uma ferramenta especializada que coleta, automaticamente e de forma agressiva, dados sensíveis. Ao fazerem isso, os criminosos sabem que aplicações e comandos podem ser executados sem chamar a atenção do administrador de rede. As informações coletadas são utilizadas para chantagear as companhias vítimas.
“A quadrilha Poseidon opera há muito tempo em todos os domínios: terra, ar e mar. Alguns desses centros de controle e comando foram encontrados dentro de provedores de internet que atendem navios em alto mar, assim como conexões sem fio dentro de operadoras tradicionais”, disse o diretor do time GReAT na América Latina, Dmitry Bestuzhev. Visto que o grupo Poseidon opera há mais de 10 anos, suas técnicas foram evoluindo, o que dificultou os pesquisadores a reunirem os fatos e juntá-los em uma só ação coordenada.