Novas informações sobre o criminoso Grupo Poseidon

Embora já exista há cerca de 11 anos,  o Grupo Poseidon é uma entidade com fins comerciais, cujos ataques implicam malware personalizado assinado digitalmente com falsos certificados, instalados para roubar dados confidenciais das vítimas e obrigando-as a estabelecer relações comerciais com o grupo. Além disso, o malware foi desenhado para funcionar especificamente em equipamentos Windows em português do Brasil e inglês.

Para já, 35 empresas foram identificadas como vítimas deste ataque, incluindo instituções financeiras e governamentais, de telecomunicações, energia e outras empresas de serviços públicos, assim como meios de comunicação e empresas de relações públicas. Os analistas do fabricante de software de segurança também já detetaram ataques a empresas de serviços de elevado perfil. Embora as vítimas deste grupo estejam sobretudo localizadas no Brasil, foi possível encontrar empresas e organismos afetados nos Estados Unidos, França, Casaquistão, Emirados Árabes Unidos, Índia e Rússia.

Uma das caraterísticas principais do Grupo Poseidon é a exploração ativa das redes empresariais baseadas em domínio. Segundo o relatório de análise da Kaspersky Lab, o Grupo Poseidon usa e-mails de phishing com ficheiros RTF/DOC, geralmente com um assunto relacionado com recursos humanos, que, após aberto, introduz um código malicioso no sistema da empresa alvo. Outra das principais descobertas é a deteção de fragmentos de conversação em português do Brasil. As amostras revelam uma preferência do Grupo pelos sistemas em português, prática que até agora ainda não tinha sido vista.

Após infetar os dispositivos, o malware informa os servidores de comando e controlo antes de dar início a uma fase complexa de movimento lateral. Nesta fase intervém uma ferramenta especializada que recolhe de forma automática um grande fluxo de informação: credenciais, políticas de gestão de grupos e inclusive os logs do sistema, para aperfeiçoar futuros ataques e assegurar a execução dos programas maliciosos. Assim, os atacantes sabem que aplicações e comandos podem utilizar sem alertar o administrador da rede durante o movimento lateral e a extração dos dados.

Depois, a informação recolhida é utilizada por uma empresa “isco” que manipula a vítima para a levar a contratar a Poseidon Security como consultora de segurança, sob a ameaça de a informação roubada ser usada em negócios obscuros em favor do grupo Poseidon.  

"O Grupo Poseidon é uma equipa sólida com muitos anos de percurso em todos os domínios: terra, ar e mar. Alguns dos seus centros de comando e controlo foram encontrados no interior dos ISP que oferecem serviços de Internet aos navios em alto mar, às redes wireless e aos operadores tradicionais", explica Dmitry Bestúzhev, diretor de investigação global da Kaspersky Lab América Latina. "Além disso, a vida útil dos seus implantes é muito curta, o que os tem ajudado a operar muito tempo sem serem detetados."

Embora esteja ativo há mais de 10 anos, o Grupo Poseidon tem vindo e dificultar a deteção dos seus ataques. Através de uma análise minuciosa de todas as provas,  analisando a caligrafia dos autores e reconstruindo o cronograma dos ataques, os analistas da Kaspersky Lab conseguiram, em meados de 2015, identificar vestígios e concluir que uma série de ataques provinham do mesmo autor, o Grupo Poseidon.