gamma-group - RunkIntel

# Gamma Group > [!high] Empresa de Spyware Comercial - Fabricante do FinFisher/FinSpy > **Gamma Group** (Gamma International) e uma empresa britanica-alema fabricante de **spyware comercial governamental**, responsavel pelo desenvolvimento do **FinFisher** (também conhecido como FinSpy) - um dos suites de vigilancia mais vendidos para governos e agencias de inteligência do mundo. Diferentemente de APTs estatais, o Gamma Group representa o modelo de **Surveillance-as-a-Service**: vender capacidades ofensivas sofisticadas a governos com historico de violacoes de direitos humanos, incluindo Bahrein, Etiopia, Emirados Arabes e dezenas de outros regimes autoritarios. ## Visão Geral Gamma Group International e uma empresa com sede no Reino Unido e com operações na Alemanha, fundada em torno de 2005 e ativa até pelo menos 2015 quando uma serie de vazamentos de dados e investigacoes públicas forcou significativa reestruturacao operacional. A empresa vendia o suite FinFisher/FinSpy exclusivamente para **agencias governamentais e de lei** como ferramenta "lawful intercept" - interceptação legal - mas investigadores da Citizen Lab, Privacy International e outros documentaram seu uso sistematico para espionagem de **jornalistas, ativistas, dissidentes politicos e minorias** em paises autoritarios. O suite FinFisher era uma das ferramentas de vigilancia mais completas do mercado: capacidade de keylogging, interceptação de chamadas Skype, captura de tela em tempo real, acesso a webcam e microfone, tracking de localização em mobile, e exfiltração de arquivos - tudo operado de forma remota e invisivel para o alvo. Em 2014, o grupo de hackers **Phineas Fisher** vazou mais de 40GB de dados internos da Gamma Group, revelando listas de clientes, contratos e manuais tecnicos - expondo o uso sistematico do FinFisher por governos autoritarios. Em 2015, investigacoes da Privacy International resultaram em **acoes criminais** contra a Gamma Group no Reino Unido, e a empresa foi efetivamente dissolvida/reestruturada. O produto FinSpy continuou sendo oferecido sob marcas associadas (Trovicor, Kryptowire) por entidades relacionadas. ## Distribuição Global do FinFisher (2014-2015) ```mermaid graph TB A["FinFisher C2 Servers 25+ paises confirmados Citizen Lab 2014"] --> B["Oriente Medio + Africa Bahrein, EAU, Egito Etiopia, Marrocos"] A --> C["Asia Bangladesh, Paquistao Mongolia, Filipinas"] A --> D["Europa + Americas Austria, Hungria, Mexico Canada, Australia"] style A fill:#c0392b,color:#fff style B fill:#8e44ad,color:#fff style C fill:#2980b9,color:#fff style D fill:#e67e22,color:#fff ``` ## Attack Flow - Implantação FinFisher em Disidente ```mermaid graph TB A["Entrega Spear-phishing ou update de software falso"] --> B["Engenharia Social Atualização falsa do iTunes ou Skype para Windows"] B --> C["Implante FinSpy Spyware instalado silenciosamente T1055 - process injection"] C --> D["Vigilancia Total Keylog + screenshot + mic T1056.001 + webcam"] D --> E["Coleta de Dados Arquivos + comúnicacoes T1005 - local data"] E --> F["Exfiltração Para C2 do cliente governo T1041 - canal C2 cifrado"] F --> G["Relatorio ao Regime Dissidente identificado Dados entregues ao cliente"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#c0392b,color:#fff style D fill:#8e44ad,color:#fff style E fill:#e67e22,color:#fff style F fill:#117a65,color:#fff style G fill:#145a32,color:#fff ``` ## Casos Documentados | Pais Cliente | Alvos Documentados | Fonte | |-------------|---------------------|-------| | Bahrein | Ativistas pro-democracia, opositores | Citizen Lab 2012 | | Etiopia | Jornalistas e dissidentes etiopes em exilio | Citizen Lab 2014 | | Emirados Arabes | Emiradenses criticos ao governo | Citizen Lab 2015 | | Mexico | Jornalistas e advogados de direitos humanos | Citizen Lab 2017 | | Bangladesh | Ativistas e politicos de oposicao | Citizen Lab 2013 | ## Arsenal | Ferramenta | Categoria | Capacidades | |-----------|-----------|-------------| | [[s0182-finfisher\|FinFisher]] | Suite spyware | Suite completo: keylog, screenshot, mic/cam, tracking | | [[finspy\|FinSpy]] | Componente mobile | Versoes Android/iOS; interceptação comúnicacoes | ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1055-process-injection|T1055 - Process Injection]] ## Software Utilizado - [[s0182-finfisher|FinFisher]] - [[finspy|FinSpy]] ## Relevância para o Brasil e LATAM > [!high] Historico Documentado no Brasil e Relevância para Jornalistas e Ativistas > O FinFisher/FinSpy foi detectado em infraestrutura C2 no Brasil e no Mexico por pesquisadores da Citizen Lab. Embora o governo brasileiro nao tenha sido confirmado como cliente ativo, a **presenca de infraestrutura** e a relevância para proteção de jornalistas, ativistas e grupos de direitos humanos e direta. Pontos específicos para o contexto brasileiro: 1. **C2 servers no Brasil**: Citizen Lab documentou servidores de comando e controle do FinFisher hospedados em infraestrutura brasileira em 2014-2015 - podendo indicar uso por cliente local ou uso de infraestrutura compromissada como relay 2. **Jornalistas investigativos em risco**: O modelo de implantação via atualizacoes falsas de software (iTunes, Skype) e espear-phishing e diretamente aplicavel a jornalistas brasileiros cobriand temas sensiveis 3. **ONGs e ativistas**: Organizacoes de direitos humanos brasileiras com conexoes internacionais ou focadas em violacoes de regimes parceiros do governo sao perfis de alvos historicos do FinFisher 4. **Legado regulatorio**: O caso Gamma Group contribuiu para debates globais sobre regulação de spyware comercial (Wassenaar Arrangement) - relevante para politica de segurança digital brasileira ## Detecção e Defesa | Indicador | Técnica | Acao | |-----------|---------|------| | Atualizacoes de software (iTunes/Skype) de origem nao-oficial | T1566.001 | Validar assinatura de atualizacoes + canal oficial exclusivo | | Processo injetando em aplicativos de comunicação | T1055 | EDR behavioral - injection em Skype/Teams/Signal | | FinSpy - arquivos de configuração cifrados caracteristicos | T1005 | Detecção por IoC de FinFisher (hashes Citizen Lab) | | Beaconing em intervalos regulares para IP/dominio fora do padrao | T1041 | Network monitoring + lista negra de C2 FinFisher conhecidos | ## Referências - [1](https://citizenlab.ca/2014/08/cat-video-and-the-death-of-clear-text/) Citizen Lab - FinFisher: Tracking Surveillance Vendors (2014) - [2](https://www.privacyinternational.org/report/finfisher-we-see-you) Privacy International - FinFisher: We See You - [3](https://citizenlab.ca/2015/10/mapping-finfishers-continuing-proliferation/) Citizen Lab - Mapping FinFisher's Continuing Proliferation (2015) - [4](https://www.amnesty.org/en/latest/research/2018/09/connected-against-the-people-surveillance-in-ethiopia/) Amnesty International - FinFisher contra Dissidentes Etiopes