Juntando diferentes amostras de malware coletados nos últimos onze anos, pesquisadores de segurança da Kaspersky ter descoberto o grupo de ciber-espionagem first-ever principal enraizada no Brasil, que se concentra em roubar informações corporativas e IP top-secret (Propriedade Intelectual).

Um APT (Ameaça Persistente Avançada) é um grupo de hackers que lançam ciberataques contra um conjunto limitado de alvos com o único propósito de roubar dados que podem ser aproveitados para fins lucrativos ou coleta de inteligência. grupos APT usar ataques altamente segmentados, geralmente o foco em um alvo de cada vez, e são muito cuidado para não ficar exposto.
Na maioria das vezes, os grupos APT são jogadores patrocinados pelo Estado que secretamente trabalham com agências de inteligência para espionar outros governos ou empresas que ativam dentro das fronteiras de um país específico. Mas isso não significa que todos os apts são tentáculos secretas de agências de espionagem do país.

O primeiro grupo APT descobriu ativação de dentro do Brasil
Como Kaspersky revelou na Analista Cúpula de Segurança (SAS 2016) realizada em Tenerife, Espanha, há uma activação APT do Brasil que não é afiliado com o governo oficial e parece interessado em roubar informações e infectando as redes de TI de vários países ou governos para a sua próprio ganho.
Codinome Poseidon devido aos inúmeros termos mitologia gregas usadas no código-fonte do seu malware, este grupo está ativo desde 2005 e tem como alvo instituições governamentais e empresas de activação na energia e utilities, telecomunicações, relações públicas, mídia, finanças e fabricação setores.

pesquisadores da Kaspersky dizer que o grupo exibiu um elevado grau de sofisticação, a implantação de variantes de malware únicas para cada alvo, abriram e muitas vezes ignorado C & C (comando e controle) os servidores após cada operação.
Isto permitiu que o grupo a passar despercebida por muitos anos, mesmo que a sua malware foi detectado por vários fornecedores de segurança, que, no entanto, não poderia juntar todas as pistas.
Para demonstrar a versatilidade do grupo, Kaspersky explica em um caso, Poseidon cortado uplinks de satélite para que ele pudesse atingir navios no mar.
malware da Poseidon é comum, mas usado com moderação

Em quase todos os casos, Poseidon conta com engenharia social clássico e truques-spear phishing, enviando alguns e-mails muito bem trabalhada para apenas alguns indivíduos dentro de uma organização.
Esses e-mails contêm arquivos RTF ou DOC maliciosos que usam macros automatizadas para download do malware inicial. Esta primeira infecção permite a hackers para infectar mais computadores nas proximidades até que encontrem servidores locais ou controladores de domínio de onde eles podem acessar materiais mais sensíveis.
Uma parte crucial do seu arsenal de malware reproduz o kit de ferramentas IGT (Informações Ferramenta Gathering), que só é implantado em fases posteriores do ataque, nos servidores locais e controladores de domínio, que contém funções que auxiliam o grupo em roubar dados desejados e, em seguida, esconder seus rastros .

Porque Poseidon tem sido em torno de tantos anos, a sua carteira de malware inclui variantes que podem atacar uma ampla gama de versões do Windows, a partir do Windows 95 para Windows 8.1, e todo o servidor variantes entre os dois.
O grupo está interessado em seus próprios ganhos monetários

Como mostra Kaspersky, na maioria das vezes, Poseidon parece interessado em roubar informações confidenciais, tecnologias e informações de negócios relacionadas com investimentos e preços das ações.
A maioria das empresas invadidos são do Brasil, Estados Unidos, França, Cazaquistão, Emirados Árabes Unidos, Índia e Rússia.

Além de roubar as empresas e, presumivelmente, vendendo os dados no mercado negro, o grupo Poseidon também parece lucrar com seus hacks diretamente.
"A informação exfiltrated é então alavancado por uma frente empresa para chantagear empresas vítima a contrair o Grupo Poseidon como uma empresa de segurança," equipe grande da Kaspersky explica . "Mesmo quando contratado, o Grupo Poseidon podem continuar a sua infecção ou iniciar outra infecção em um momento posterior, persistindo na rede para continuar a coleta de dados para além da sua obrigação contratual."

Kaspersky diz que eles encontraram amostras de malware Poseidon em pelo menos 35 empresas e que os seus esforços para encerrar a campanha não foram bem sucedidas devido a táticas Shifty do grupo.
Saiba mais: http://news.softpedia.com/news/first-ever-brazilian-apt-focuses-on-corporate-espionage-and-ip-theft-500126.shtml#ixzz4CynmsJue


Wednesday, June 29, 2016







« Voltar