O time global de pesquisa e análise (GReAT) da Kaspersky Lab identificou a primeira campanha de ciberespionagem brasileira. Chamada de Poseidon, ela atua com técnicas avançadas desde meados de 2005 e tem como foco instituições financeiras, de telecomunicações, setor industrial e de energia e veículos de comunicação.
A Kaspersky Lab já identificou pelo menos 35 empresas classificadas como alvos primários, bem como detectaram ataques contra companhias de serviços que atendem altos executivos.
As vítimas desse grupo estão localizadas nos Estados Unidos, França, Cazaquistão, nos Estados Árabes Unidos, Índia e Rússia. Porém, a propagação das infecções está fortemente direcionada para o Brasil, onde muitas das vítimas operam via joint ventures ou parcerias.
Diferenciais
O grande diferencial desse grupo, de acordo com a empresa de segurança, é o fato dele comercializar malwares personalizados com certificados digitais ilegais para roubar dados sensíveis das vítimas, que serão usados para coagi-las a estabelecer uma relação de negócios com o grupo.
Dentre os dados coletados também podem estar credenciais, políticas de gerenciamento de grupo e até mesmo logs do sistema para aprimorar futuros ataques e garantir a execução do malware.
Além disso, ele foi desenvolvido com o propósito de atingir máquinas com as versões do Windows em inglês e português do Brasil – caracterizando assim a primeira campanha de ataque direcionado desenvolvida nesse idioma.
Outra característica do grupo de
ciberespionagem é a exploração ativa de domínios de redes corporativas. De acordo com o relatório analítico da Kaspersky Lab, os criminosos confiam em
e-mails de phishing com arquivos RTF/DOC, geralmente com temas (iscas) de recursos humanos, que ao serem abertos, injetam códigos binários maliciosos no sistema. Outra conclusão é a presença de strings (sequência de códigos) na língua portuguesa do Brasil.