hacker-keyboard-dark-room

A fabricante de antivírus Kaspersky Labs revelou que uma gangue de hackers, batizada de “Poseidon”, atua no Brasil e outros países desde 2005 em ataques avançados de espionagem e estelionato. Os códigos usados pelo grupo foram desenvolvidos para uso exclusivo, caracterizando o Poseidon como um APT (Ameaça Avançada Persistente, na sigla em inglês). 

APTs são indivíduos ou organizações que buscam espionar ou atacar empresas ou segmentos industriais e governamentais específicos. Eles se diferenciam dos invasores comuns, que ganham dinheiro invadindo computadores de maneira indiscriminada. Em termos simples, enquanto muitos criminosos buscam quantidade, os APTs se interessam na qualidade e na relevância dos alvos para seus objetivos específicos. Sofisticação, planejamento e discrição fazem parte do roteiro de um APT. 

Segundo a Kaspersky Labs, que analisou os códigos e infraestrutura operacional da gangue, os criminosos se infiltram nas empresas utilizando brechas em programas populares, como o Microsoft Office. Uma vez realizada a invasão, os golpistas se apresentam como uma consultoria de segurança para supostamente resolver o problema. É nessa etapa, no entanto, que eles na verdade consolidam o acesso aos sistemas das vítimas. 

Os vírus são enviados por e-mail em português do Brasil e em inglês, normalmente se passando por um candidato à busca de emprego ou outra comunicação inofensiva. Organizações foram vítimas do grupo nos Estados Unidos, nos Emirados Árabes Unidos, na França, na Rússia, no Cazaquistão e na Índia. Os alvos preferidos do grupo, no entanto, são empresas brasileiras. 

Dentro das redes corporativas, os hackers monitoram dados financeiros para realizar fraudes em investimentos por meio de análises de mercado a partir dos dados privilegiados obtidos com as invasões. A Kaspersky Labs diz ter identificado 35 vítimas, entre elas empresas dos setores de energia, órgãos governamentais e até imprensa. 

Como o grupo está na ativa há muitos anos, os primeiros códigos eram compatíveis com Windows 95 e Windows NT. As versões mais recentes dos programas usados já funcionam em servidores Windows Server 2012 e no Windows 8.1. 

O grupo utiliza uma série de técnicas avançadas. Além das brechas em programas populares, a Kaspersky Labs identificou o uso de certificados digitais para conferir legitimidade aos códigos espiões. O vírus também é capaz de encontrar um nome de arquivo autorizado nas políticas de sistema e de se renomear para não ser impedido de executar em ambientes empresariais mais controlados. 

Em um dos ataques, a Kaspersky Labs identificou o uso de conexões de satélite normalmente utilizadas por navios em alto mar. Mas o nome “Poseidon”, que se refere ao deus grego do mar, tem relação com comentários embutidos nos programas e também com a afinidade do grupo com outras divindades da mitologia grega. 

A Kaspersky Labs não identificou a origem do grupo, mas a tendência de atacar empresas brasileiras, o uso do português do Brasil – inclusive respeitando diferenças regionais – e a presença de infraestrutura operacional no Brasil e países da América do Sul, como Colômbia e Venezuela, sugerem o envolvimento de brasileiros nas fraudes. 

O nome da empresa de segurança envolvida na fraude, que oferece às empresas invadidas supostos serviços de consultoria, não foi revelado pela Kaspersky Lab.

Quer ficar protegido? Saiba mais: Clique Aqui

Fonte: G1

Publicado por Alexandre Viana - Diretor VirtualLink

CEO da empresa VirtualLink , Pós-graduado em Redes de Computadores pela UFPA, Consultor Sênior em T.I.C. com ênfase em Soluções de Interoperabilidade entre os Sistemas Unix, Windows e Linux, Especialista em Soluções de T.I.C. baseadas em Software Livre.