La empresa de ciberseguridad Kaspersky Lab ha descubierto un grupo de hackers denominado grupo Poseidón, responsable de ciberespionaje a bancos, empresas de telecomunicaciones, manufactura, energía y medios de comunicación de todo el mundo desde por lo menos el 2005.
Según Kaspersky, Poseidón es una entidad comercial que usa malwares (programas malicioso) firmados digitalmente con certificados falsos para robar datos confidenciales de sus víctimas y así obligarlos a establecer una relación de negocios con ellos.
Este malware está diseñado para funcionar específicamente en máquinas con Windows en inglés y portugués, un modo de procede que no usan otros grupos de hackers.
Se han identificado al menos 35 empresas víctimas, entre ellas instituciones financieras y gubernamentales, telecomunicaciones, manufactura, energía y otras compañías de servicios públicos, así como empresas de medios de comunicación y de relaciones públicas.
Los expertos de Kaspersky Lab también han detectado ataques en empresas de servicios que atienden a altos ejecutivos corporativos. Las víctimas de este grupo están localizadas en Estados Unidos, Francia, Kazajistán, Emiratos Árabes Unidos, India y Rusia.
Pero, destaca la empresa de seguridad, la mayoría de las víctimas están relacionada con Brasil, pues muchas de ellas tienen empresas conjuntas u operaciones asociadas en este país.
¿Cómo proceden?
El grupo Poseidón explora activamente las redes corporativas basadas en el dominio de las empresas. De acuerdo al informe, los hackers usan correos electrónicos maliciosos, por lo general con un señuelo de recursos humanos que al ser abierto infecta las computadoras
Estos correos, alerta Kaspersky, son cadenas en idioma portugués. La preferencia de estos hackers por los sistemas en portugués, según lo revelado en las muestras, es una práctica que hasta ahora no se había visto.
Una vez que se infecta una computadora, el malware se comunica con el servidor de comando y control. Luego un sistema recoge de forma automática y agresiva una amplia gama de información, incluyendo las credenciales, políticas de gestión de grupos, e incluso registros del sistema para perfeccionar nuevos ataques y asegurar la ejecución del programa malicioso.
Al hacer esto, los atacantes saben realmente qué aplicaciones y comandos pueden utilizar sin alertar al administrador de la red durante el ataque. Varios de los centros de comando y control de Poseidón han sido detectados en Brasil, EE.UU., Grecia, Colombia, Venezuela y en alta mar.
La información recopilada es aprovechada por una empresa para manipular a las compañías víctimas a que contraten al grupo Poseidón como consultor de seguridad, bajo la amenaza de utilizar la información robada en una serie de negocios en beneficio de estos hackers.
"Se encontró que varios de sus implantes tenían una vida útil muy corta, lo cual contribuyó a que este grupo haya podido operar durante mucho tiempo sin ser detectado", señaló Dmitry Bestuzhev, director del Equipo de Análisis e Investigación Global de Kaspersky Lab América Latina.
A pesar de que el grupo Poseidón ha estado activo durante al menos 10 años, las técnicas utilizadas para diseñar sus implantes han evolucionado, lo cual dificulta a los investigadores identificar a los atacantes, señala Kaspersky.