Grupo Poseidon, uma boutique de malware que atua na terra, ar e mar
15 de fevereiro de 2016Primeira campanha conhecida de ciberespionagem desenvolvida em português do Brasil é direcionada às instituições financeiras, de telecomunicações, setor industrial e de energia e veículos de comunicação
Uma campanha de ciberespionagem com avançadas técnicas e ainda ativa em âmbito mundial que está em atuação desde meados de 2005. O grande diferencial desse grupo é fato dele comercializar malware personalizados com certificados digitais ilegais para roubar dados sensíveis das vítimas, que serão usados para coagi-las a estabelecer uma relação de negócios com o grupo. Além disso, ele foi desenvolvido com o propósito específico de atingir máquinas com as versões do Windows em inglês e português do Brasil, caracterizando assim a primeira campanha de ataque direcionado desenvolvida nesse idioma.
Pelo menos 35 empresas já foram identificadas como alvos primários, e elas são instituições financeiras, governamentais, de telecomunicações, indústrias, companhias de energia e outras empresas de serviços, assim como companhias de mídia e relações públicas. Os especialistas da Kaspersky Lab detectaram ataques contra empresas de serviços que atendem altos executivos.
As vítimas deste grupo estão localizadas nos Estados Unidos, França, Cazaquistão, nos Estados Árabes Unidos, Índia e Rússia. Porém, a propagação das infecções está fortemente direcionada para o Brasil, onde muitas das vítimas operam via joint ventures ou parcerias.
Uma das características do grupo Poseidon é a exploração ativa de domínios de redes corporativas. De acordo com o relatório analítico da Kaspersky Lab, os criminosos confiam em e-mails de phishing com arquivos RTF/DOC, geralmente com temas (iscas) de recursos humanos, que ao serem abertos, injetam códigos binário malicioso no sistema corporativo. Outra conclusão é a presença de strings (sequência de códigos) na língua portuguesa do Brasil.
O grupo tem preferência por sistemas em português, como revelado pelas amostras, e é uma prática que nunca tinha sido vista.
Uma vez que o computador foi infectado, o malware avisa os servidores de comando e controle (C&C) antes de iniciar uma complexa fase de movimentos laterais. Esta fase ativará frequentemente uma ferramenta especializada que coleta, automaticamente e de forma agressiva, uma grande variedade de informações, que incluem credenciais, políticas de gerenciamento de grupo e até mesmo logs do sistema para aprimorar futuros ataques e garantir a execução do malware. Ao fazer isto, os criminosos sabem que aplicações e comandos podem ser executados sem chamar a atenção do administrador de rede durante a infiltração e movimentos laterais.
As informações coletadas são então usadas com objetivos comerciais para chantagear as companhias vítimas a contratarem o grupo Poseidon como consultores de segurança, sob a ameaça de usar os dados roubados em uma série de contratos ilegais para beneficiar o grupo.
“A quadrilha Poseidon opera há muito tempo em todos os domínios: terra, ar e mar. Alguns desses centros de controle e comando foram encontrados dentro de provedores de internet que atendem navios em alto mar, assim como, conexões sem fio dentro de operadoras tradicionais”, afirma Dmitry Bestuzhev, diretor do time GReAT na América Latina.
“Além disso, vários dos códigos maliciosos implantados foram criados para ter um tempo de vida curto, o que permitiu manter o grupo operando por um longo tempo sem ser detectado”.
Como o grupo Poseidon opera há mais de 10 anos, suas técnicas foram evoluindo, o que dificultou os pesquisadores a reunirem os fatos e juntá-los em uma só ação coordenada. No entanto, por meio de uma coleta cuidadosa das evidências, utilizando as particularidades do autor da ameaça e reconstruindo o cronograma do atacante, os especialistas da Kaspersky Lab foram capazes de estabelecer, em meados de 2015, as ligações entre as amostras de malware que já eram detectados, e assim conclui-se que pertenciam de fato ao mesmo autor, o grupo Poseidon.