Grupo hacker criado no Brasil se torna ameaça mundial

• 0

O Brasil é conhecido no mundo por sua atividade hacker, sobretudo na área de malwares bancários, mas a descoberta de um novo grupo de criminosos cibernéticos eleva as ameaças nacionais a um novo patamar. Batizado como Poseidon, é o primeiro grupo conhecido de ciberespionagem criado no país, e chama a atenção de especialistas por ter características que fogem do padrão, que incorporam o chamado jeitinho brasileiro.

“Temos 100% de certeza que o programador é brasileiro e a sede do grupo é no país”, afirma Dmitry Bestuzhev, diretor da equipe global de pesquisa e análise da Kaspersky Lab na América Latina. “A programação usa diferentes linguagens, é muito híbrida. Tem o ‘jeitinho brasileiro’”.

A análise indica que o Poseidon está em atividade desde 2005 e afetou ao menos 35 companhias em EUA, França, Índia, Rússia, Emirados Árabes, Cazaquistão e Brasil. O anúncio foi feito durante o Security Analyst Summit 2016, evento de segurança da informação promovido pela Kaspersky.

O conjunto de ferramentas do grupo é direcionado ao Windows em inglês ou português do Brasil. Foram encontradas linhas de código em português, um sinal de que a equipe de programação é formada por brasileiros nativos.

“Percebemos a presença de muitos verbos no gerúndio”, diz Fabio Assolini, analista da Kaspersky no Brasil. “Encontramos diferenças com o português de Portugal, como o uso dos termos mouse e tela. Lá eles falam rato e ecrã”.

Chantagem

Entre as vítimas já identificadas estão companhias do setor financeiro, de telecomunicações, energia, mídia e órgãos do governo. O grupo é especializado no roubo de informações corporativas, que são, primeiramente, oferecidas à própria vítima como forma de chantagem.

Caso a negociação não avance, o material coletado é ofertado a concorrentes e investidores na forma de análise de mercado.

“Eles invadem os sistemas de multinacionais e, quando estão com os dados, batem na porta das empresas, vestindo ternos, e dizem: sabemos que vocês têm problemas de segurança”, explica Juan Andrés Guerrero, analista de segurança da Kaspersky.

O Poseidon começa a atuar com a infecção do sistema corporativo com e-mails direcionados a funcionários do setor de recursos humanos. Os criminosos descobrem que tipo de profissional a empresa procura e enviam currículos falsos com arquivos .DOC que, ao serem abertos, injetam o código malicioso no sistema. Após a infecção, o malware apaga os rastros da invasão e ativa ferramentas especializadas na coleta automática de grande quantidade de dados, como credenciais e políticas de gerenciamento de redes.

O que chamou a atenção dos pesquisadores foi a localização dos servidores onde os centros de comando e controle estão instalados. “Os servidores estavam no céu, nos principais operadores de redes sem fio; no mar, pois afetavam provedores que fornecem internet apenas para navios, e na terra, como o padrão. Por isso demos o nome de Poseidon”, diz Bestuzhev -- na mitologia grega, Poseidon é o deus do mar.