A empresa de software de segurança Kaspersky anunciou esta terça-feira, na Security Analyst Summit 2016 (SAS) em Tenerife, a descoberta de um grupo de ciberespionagem com origem no Brasil, que desenha programas maliciosos (malware) para obtenção de informações comerciais e industriais. O grupo Poseidon tem a particularidade de ser a primeira organização conhecida com origem no Brasil e a única a infetar o sistema operativo Windows em português do Brasil, além do inglês.
Este grupo tem como método a instalação de programas maliciosos nos computadores de grandes empresas e corporações, nomeadamente no setor financeiro, da energia, relações públicas e órgãos de comunicação social. Já foram identificadas 35 vítimas, localizadas sobretudo no Brasil, mas também nos Estados Unidos da América, França, Cazaquistão, Emirados Árabes Unidos, Índia e Rússia.
Os detalhes técnicos são complexos mas a operação explica-se de uma forma simples: infiltram-se nos computadores através de anexos enviados por email, adquirem informação privilegiada e vendem-na a terceiros. Em alternativa, ameaçam as empresas que atacam, levando-as a contratar a Poseidon Security (uma face pública do grupo) como consultora de segurança. Além disso, adquirem informação a pedido ou antecipam eventuais necessidades. O software que criaram é flexível e tem vindo a ser alterado, sendo capaz de trabalhar com sistemas operativos antigos (desde o Windows 95) e de manter computadores infetados durante anos, até obter as informações que procura.
O Poseidon (nome do deus grego do mar) é muito versátil, como explicou Dmitry Bestúzhev, diretor de investigação global da Kaspersky Lab América Latina. Trata-se de “uma equipa sólida com muitos anos de percurso em todos os domínios: terra, ar e mar. Alguns dos seus centros de comando e controlo foram encontrados no interior dos ISP [servidores de Internet] que oferecem serviços de Internet aos navios em alto mar, às redes wireless e aos operadores tradicionais.”
Pensa-se que este grupo esteja ativo desde 2005, mas ainda não tinha sido possível juntar as peças que permitissem a identificação concreta do esquema. Foram encontrados indícios desta operação desde 2001, mas só agora a GReAT (Global Research & Analysis Team – equipa de pesquisa e análise da Kaspersky) foi capaz de montar o puzzle — os contornos são complexos e estão disponíveis neste neste link.
Durante esta apresentação foi ainda relatada uma curiosidade. Existe uma particularidade linguística que sugere que se trata de um grupo com origem no norte do Brasil. Os investigadores encontraram, nas linhas de código do software, uma diferença subtil de género: a referência no masculino aos ficheiros Zip (um formato de compressão) parece distinguir o norte do sul, no português do Brasil. A raiz do código deverá ser, portanto, nordestina.
O esquema do grupo Poseidon foi uma das revelações mais importantes da oitava edição da Security Analyst Summit que decorreu esta semana, em Tenerife. A SAS é a grande reunião anual organizada pela Kaspersky, empresa de segurança informática com sede em Moscovo.
O Observador viajou a Tenerife a convite da Kaspersky