# Sowbug ## Visão Geral **Sowbug** é um dos poucos grupos de espionagem cibernética com **atividade COMPROVADA e CONFIRMADA no Brasil**. Descoberto pela Symantec em novembro de 2017, o grupo tem comprometido entidades governamentais com foco em **política externa, relações diplomáticas e inteligência estratégica** no Brasil, Argentina, Equador, Peru, Brunei e Malásia desde pelo menos 2015. O grupo utiliza malware customizado e sofisticado - o backdoor [[s0171-felismus|Felismus]] para controle remoto persistente e o loader [[s0188-starloader|Starloader]] para implantar ferramentas adicionais (keyloggers, credential dumpers). Operações são conduzidas **fora do horário comercial** dos alvos para manter perfil baixo - indicador de atribuição a Estado-nação bem organizado. Até hoje, **a origem exata do grupo permanece desconhecida** - a Symantec não atribuiu o Sowbug a nenhum Estado específico. **Também conhecido como:** Sowbug, G0054 ## Attack Flow - Espionagem Diplomática LATAM ```mermaid graph TB A["🎯 Reconhecimento<br/>Ministério de Relações<br/>Exteriores / Governo"] --> B["🔍 Comprometimento Inicial<br/>Vetor desconhecido<br/>Possívelmente spear-phishing"] B --> C["📦 Felismus Deploy<br/>Backdoor customizado<br/>Controle remoto total"] C --> D["⬆️ Starloader<br/>Instala ferramentas adicionais<br/>Keyloggers + dumpers"] D --> E["🕵️ Coleta de Inteligência<br/>T1083 File Discovery<br/>T1039 Network Shares"] E --> F["🗜️ Empacotamento<br/>T1560.001 Archive Utility<br/>Comprime dados para exfil"] F --> G["📤 Exfiltração Discreta<br/>Operações fora horário comercial<br/>Documentos diplomáticos"] classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef init fill:#c0392b,color:#fff,stroke:#922b21 classDef felismus fill:#e74c3c,color:#fff,stroke:#c0392b classDef starloader fill:#e67e22,color:#fff,stroke:#d35400 classDef collect fill:#8e44ad,color:#fff,stroke:#6c3483 classDef archive fill:#2471a3,color:#fff,stroke:#1a5276 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A recon class B init class C felismus class D starloader class E collect class F archive class G exfil ``` > [!danger] Ameaça Confirmada ao Brasil > Sowbug é um dos poucos grupos com **comprometimento documentado de entidades governamentais brasileiras**. A Symantec confirmou alvos no Brasil, Argentina, Equador e Peru. O foco em política externa e ministérios de relações exteriores indica que o grupo busca inteligência diplomática estratégica - altamente sensível para o Itamaraty e agências governamentais federais brasileiras. ## Alvos Documentados | País | Setor | Contexto Operacional | |------|-------|---------------------| | **Brasil** | Governo / MRE | Compromisso confirmado pela Symantec | | **Argentina** | Governo / Diplomacia | Múltiplos alvos relacionados a relações exteriores | | **Equador** | Governo | Entidades com papel em política externa | | **Peru** | Governo | Alvos governamentais | | Brunei | Governo | Sudeste Asiático | | Malásia | Governo | Sudeste Asiático | Em uma operação documentada, o Sowbug comprometeu o **ministério de relações exteriores de um país sul-americano** e buscou específicamente documentos Word relacionados a **relações com o Sudeste Asiático** e organizações internacionais - evidênciando interesse em mapeamento de alianças diplomáticas. ## Arsenal de Malware ### Felismus (Backdoor Principal) O [[s0171-felismus|Felismus]] é o backdoor customizado assinatura do Sowbug: - Upload e download de arquivos remotos - Execução de comandos via Windows Command Shell - Comúnicação criptografada C2 via HTTP/HTTPS - Mascaramento como recurso legítimo do sistema (T1036.005) - Detecção de software de segurança para evasão - Discovery de informações do sistema e configuração de rede ### Starloader (Loader) O [[s0188-starloader|Starloader]] é usado para distribuir ferramentas adicionais pós-comprometimento: - Implanta keyloggers para captura de teclas - Instala credential dumpers para extração de senhas - Permite atualização do arsenal sem reconexão manual ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | File and Directory Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Busca de documentos Word específicos por tema | | Data from Network Shared Drive | [[t1039-data-from-network-shared-drive\|T1039]] | Coleta em compartilhamentos de rede | | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | Compressão de dados antes de exfiltração | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos pós-comprometimento | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de credenciais e informações | | Network Share Discovery | [[t1135-network-share-discovery\|T1135]] | Mapeamento de compartilhamentos internos | | Match Legitimaté Resource | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Felismus se mascara como arquivo de sistema | | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Extração de credenciais via Starloader | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema comprometido | ## Indicadores de Atribuição a Estado-Nação ```mermaid graph TB A["Indicadores Sowbug<br/>Estado-Nacao"] --> B["Recursos Avancados<br/>Malware customizado<br/>Felismus + Starloader"] A --> C["Operacoes Simultâneas<br/>Múltiplos alvos ao mesmo<br/>tempo em paises distintos"] A --> D["Foco Diplomatico<br/>Busca documentos MRE<br/>Politica externa específica"] A --> E["Perfil Baixo Operacional<br/>Trabalha fora horario<br/>comercial dos alvos"] style A fill:#c0392b,color:#fff style B fill:#1a5276,color:#fff style C fill:#8e44ad,color:#fff style D fill:#e67e22,color:#fff style E fill:#196f3d,color:#fff ``` ## Recomendações para o Brasil 1. **Monitoramento de IoCs Felismus e Starloader** em redes governamentais - especialmente ministérios com papel em política externa (Itamaraty, Defesa, Casa Civil) 2. **Detecção comportamental fora do horário comercial**: O Sowbug opera tipicamente durante fins de semana e madrugadas - alertas para atividade anômala nesses períodos 3. **Restrição de acesso a documentos de relações exteriores**: Segmentação e controle de acesso rigoroso para documentos sobre relações com Sudeste Asiático e organizações internacionais 4. **Auditorias forenses em redes do Itamaraty** e embaixadas - possibilidade de comprometimentos não detectados desde 2015 5. **Compartilhamento de inteligência com parceiros LATAM**: Argentina, Equador e Peru também foram alvos - cooperação de CERT governamentais é essencial > [!danger] Prioridade CRÍTICA para Defesa Nacional > O Sowbug é uma das poucas ameaças com **comprometimento documentado ao Brasil**. A Symantec confirmou que entidades governamentais brasileiras foram comprometidas. Qualquer órgão governamental federal com função em política externa, defesa ou inteligência deve considerar que pode haver presença não detectada do Sowbug em suas redes desde 2015. ## Referências - [1](https://apt.etda.or.th/cgi-bin/showcard.cgi?u=76db0506-25f4-4b80-90aa-032d0a8345fe) ETDA Thailand - Sowbug Threat Group Card - [2](https://attack.mitre.org/groups/G0054/) MITRE ATT&CK - Sowbug G0054 - [3](https://secureidees.com/symantec-uncovered-a-new-apt-the-cyber-espionage-sowbug-group/) SecureIdees - Symantec Uncovered Sowbug Group (2017) - [4](https://securityaffairs.com/65293/apt/sowbug-group-apt.html) Security Affairs - Sowbug Group APT (2017) - [5](https://www.cfr.org/cyber-operations/sowbug) CFR Cyber Operations Tracker - Sowbug