A Symantec identificou um grupo de espionagem na internet chamado por enquanto de Sowbug. Seus membros têm feito ataques cibernéticos direcionados contra órgãos de política externa e alvos diplomáticos do Brasil, Argentina, Equador, Peru e Malásia. O Sowbug tem preparado ataques clássicos de espionagem, e roubado documentos das organizações nas quais se infiltra.
A primeira pista sobre o Sowbug foi um novo malware chamado Felismus, descoberto pelos pesquisadores da empresa em março de 2017. Ele malware foi usado contra um alvo no Sudeste Asiático. Posteriormente, foram identificadas mais vítimas em ambos os lados do Oceano Pacífico. Embora o Felismus tenha sido identificado inicialmente em março, sua associação com Sowbug era desconhecida até agora. A Symantec também descobriu campanhas anteriores do grupo, indicando que ele está ativo desde a metade de 2015.
Até o momento, o Sowbug parece ter-se infiltrado em organizações do Brasil, Argentina, Equador, Peru, Brunei e Malásia. O grupo possui recursos suficientes para infiltrar múltiplos alvos simultaneamente e, muitas vezes, opera fora do horário de trabalho das organizações direcionadas, para se manter imperceptível.
Invasão altamente direcionada
Algumas pistas sobre a motivação e os interesses dos invasores podem ser encontradas em seus ataques. Em um ataque a um ministério das Relações Exteriores da América do Sul em 2015, por exemplo, o modo de ataque indicou que o grupo estava procurando por informações muito específicas.
Apesar de a primeira evidência de sua invasão ser de 6 de maio de 2015, a atividade ficou mais intensa em 12 de maio do mesmo ano. Os invasores pareciam estar interessados em uma divisão do ministério responsável pelas relações com a região da Ásia-Pacífico. Eles tentaram extrair todos os documentos em Word armazenados em um servidor de arquivos pertencente a esta divisão.
Curiosamente, selecionaram somente arquivos modificados de 11 de maio de 2015 em diante. Uma hora depois eles retornaram, tentando extrair todos os documentos modificados a partir de 7 de maio de 2015. Isso indica que eles não encontraram o que estavam procurando na incursão inicial, ou então notaram algo nos documentos que roubaram anteriormente que os levou a buscar mais informações.
Os invasores não pararam por aí. O próximo passo foi listar todas as unidades compartilhadas remotas e, em seguida, tentar acessar compartilhamentos remotos pertencentes ao escritório do governo que era o alvo do grupo, tentando novamente extrair todos os documentos em Word. Nesse caso, eles procuraram por qualquer documento modificado a partir de 9 de maio, mas incluíram também buscas em uma outra divisão do ministério das Relações Exteriores da América do Sul, responsável por relações com organizações internacionais. Eles também implantaram duas cargas de dados desconhecidos no servidor infectado. No total, os invasores mantiveram a presença na rede do alvo durante quatro meses, entre maio e setembro de 2015.