# T1591.001 - Determine Physical Locations > [!info] Técnica de Reconhecimento > **ID MITRE:** T1591.001 | **Tática:** Reconnaissance | **Plataforma:** PRE (pré-comprometimento) > Esta técnica opera **antes** do comprometimento - não há artefatos digitais diretos na rede da vítima. ## Descrição Adversários podem coletar informações sobre a **localização física** de organizações-alvo como parte do processo de reconhecimento pré-comprometimento. Essa coleta faz parte da técnica pai [[t1591-gather-victim-org-information|T1591 - Gather Victim Org Information]] e é executada integralmente no ambiente do atacante, sem gerar atividade direta nas redes da vítima. Informações sobre localização física revelam muito mais do que um simples endereço: indicam em quais **jurisdições legais** a organização opera, onde estão concentrados os ativos físicos críticos (data centers, NOCs, sedes regionais), quais regulações se aplicam (LGPD no Brasil, GDPR na Europa), e possíveis vulnerabilidades de segurança física que podem ser exploradas em ataques combinados (cyber + físico). Para organizações do setor financeiro, governo e infraestrutura crítica no Brasil e na América Latina, o levantamento de localização física é frequentemente o ponto de partida de campanhas de espionagem mais sofisticadas, especialmente conduzidas por grupos como [[g0059-magic-hound|Magic Hound]] (APT35, vinculado ao Irã) que combinam inteligência de fontes abertas com engenharia social direcionada. As fontes para esse levantamento são variadas e, em sua maioria, completamente legítimas e públicas: registros de CNPJ/CNAE na Receita Federal brasileira, registros de imóveis, públicações em diários oficiais, vagas de emprego com endereço de sede, perfis corporativos no LinkedIn, fotografias geotagueadas em redes sociais, e até metadados de documentos públicados oficialmente. ## Como Funciona O levantamento de localização física segue um processo metódico de coleta e correlação de dados de fontes abertas (OSINT): **1. Consulta a registros públicos:** Adversários consultam bases como a Receita Federal (CNPJ), Junta Comercial, cartórios de imóveis, e registros municipais. No Brasil, dados de CNPJ são públicos e revelam endereço completo da sede, filiais e responsáveis legais. Ferramentas como o portal da RFB e o CNPJ.biz automatizam essa coleta. **2. Análise de presença digital:** Sites corporativos, páginas de "Fale Conosco", públicações institucionais e relatórios anuais frequentemente listam todos os endereços físicos da organização, incluindo data centers e instalações de TI. O [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] é frequentemente empregado em paralelo. **3. Coleta via redes sociais:** Perfis no LinkedIn revelam filiais (cidades onde a empresa contrata), posts no Instagram/Facebook de funcionários revelam localizações de escritórios, e check-ins no Foursquare/Google Maps criam um mapa detalhado das instalações. O [[t1593-001-social-media|T1593.001 - Social Media]] complementa essa fase. **4. Google Maps / Street View e imagens de satelite:** Adversários sofisticados utilizam imagens de satelite comerciais (Maxar, Planet Labs) e o Google Street View para avaliar segurança física, pontos de entrada, antenas externas, e equipamentos visíveis. **5. Correlação de dados geoespaciais:** Fotos geotagueadas públicadas por funcionários, metadados EXIF de documentos, e dados de localização de endereços IP mapeados contra registros WHOIS fornecem confirmação e enriquecimento. **6. Engenharia social (Phishing for Information):** Em casos mais agressivos, adversários utilizam [[t1598-phishing-for-information|T1598 - Phishing for Information]] para confirmar ou enriquecer informações sobre localização, fingindo ser fornecedores, parceiros ou auditores. ## Attack Flow ```mermaid graph TB A["🔍 Fase Inicial<br/>Identificação do alvo<br/>e objetivos"] --> B["📋 Fontes Públicas<br/>CNPJ, Junta Comercial<br/>Diários Oficiais"] A --> C["🌐 Presença Digital<br/>Site corporativo<br/>Relatórios anuais"] A --> D["👥 Redes Sociais<br/>LinkedIn, Instagram<br/>Foursquare"] B --> E["📍 Mapa de Instalações<br/>Sede, filiais<br/>data centers, NOCs"] C --> E D --> E E --> F["⚖️ Análise de Jurisdição<br/>LGPD, reguladores<br/>autoridades locais"] E --> G["🛡️ Avaliação Física<br/>Segurança, câmeras<br/>pontos de entrada"] F --> H["🎯 Oportunidades Identificadas<br/>Vetores de ataque<br/>combinados cyber+físico"] G --> H H --> I["📧 Phishing Direcionado<br/>T1566 com contexto<br/>geográfico específico"] H --> J["🏗️ Infraestrutura Operacional<br/>T1583 Acquire Infrastructure<br/>na mesma região"] H --> K["🚪 Acesso Físico<br/>T1200 Hardware Additions<br/>visita presencial"] ``` ## Exemplos de Uso ### Magic Hound (APT35) - Campanhas contra Brasil e LATAM O grupo [[g0059-magic-hound|Magic Hound]], atribuído ao governo iraniano (IRGC), é documentadamente conhecido por combinar reconhecimento de localização física com campanhas de [[t1566-phishing|phishing]] altamente personalizadas. Em operações contra organizações de pesquisa e governo na América Latina, o grupo utilizou endereços físicos levantados via OSINT para criar pretextos convincentes em e-mails de spear-phishing - referênciando conferências locais, endereços de sede em comúnicações falsas, e até nomes de prédios para aumentar a credibilidade. ### Cenário Típico: Ataque a Banco Brasileiro 1. Adversário identifica via CNPJ que o banco possui sede em São Paulo (Faria Lima) e data center em Tamboré/Alphaville 2. Via LinkedIn, mapeia funcionários de TI que trabalham no data center 3. Via Google Maps, verifica acesso físico, prestadores de serviço frequentes 4. Utiliza essas informações para criar e-mail de phishing simulando fornecedor de infraestrutura local 5. Combina com [[t1595-001-scanning-ip-blocks|T1595.001 - Scanning IP Blocks]] para mapear os blocos IP alocados àquelas localidades ### Infraestrutura Crítica Nacional Em ataques contra [[_sectors|setores de infraestrutura crítica]] (energia elétrica, água, telecomúnicações), o levantamento de localização física é essencial para entender quais instalações têm maior impacto operacional se comprometidas. Adversários com objetivos de sabotagem ou criação de efeitos cinéticos priorizam instalações cujo comprometimento causaria o maior impacto geopolítico. > [!warning] Risco Elevado para LATAM > Organizações brasileiras têm alta exposição a essa técnica devido à obrigatoriedade de públicação de dados de CNPJ (incluindo endereços de filiais e responsáveis) e à cultura de compartilhamento em redes sociais corporativas. O Brasil é o país da LATAM com maior volume de dados corporativos públicos estruturados. ## Detecção Esta técnica ocorre **inteiramente fora da rede da vítima** - não há logs internos que capturem diretamente o levantamento de localização física por um adversário externo. A detecção é baseada em **indicadores indiretos** e **monitoramento de exposição**. ### Sigma Rule - Monitoramento de Exposição de Localização em OSINT ```yaml title: Exposição de Localização Física em Fontes Públicas status: experimental description: > Detecta acesso incomum a páginas de "Sobre" e "Contato" de sites corporativos que podem indicar reconhecimento de localização física por adversários. Complementar ao monitoramento de logs de acesso web. logsource: category: webserver product: nginx detection: selection_recon_pages: cs-uri-stem|contains: - '/contato' - '/contact' - '/sobre' - '/about' - '/locations' - '/filiais' - '/unidades' selection_suspicious_ua: cs-user-agent|contains: - 'python-requests' - 'curl/' - 'Go-http-client' - 'scrapy' condition: selection_recon_pages and selection_suspicious_ua level: low tags: - attack.reconnaissance - attack.t1591.001 falsepositives: - Motores de busca legítimos (Googlebot, Bingbot) - Ferramentas de monitoramento de uptime - Crawlers de SEO autorizados ``` ### Estrategias de Detecção Complementares | Abordagem | Método | Ferramenta | |-----------|--------|------------| | Monitoramento de OSINT | Alertas em ferramentas de threat intelligence para menções ao nome da organização + localização | Recorded Future, SpiderFoot | | Honey tokens geográficos | Publicar endereços fictícios de instalações sensíveis para detectar reconhecimento | Canary Tokens | | Análise de logs DNS | Identificar resolução DNS de domínios da organização a partir de IPs anômalos | SIEM + DNS logs | | Monitoramento de registros públicos | Alertas para consultas repetidas ao CNPJ corporativo | Monitoramento via RFB API | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Técnica primária de mitigação: limitação de informações públicadas sobre localização física, especialmente de instalações sensíveis como data centers e NOCs. Inclui políticas de compartilhamento em redes sociais. | ### Controles Adicionais Recomendados > [!tip] Redução de Superfície de Exposição > - **Separar endereços públicos de instalações sensíveis:** Nunca públicar endereços de data centers, NOCs, ou salas de segurança em materiais corporativos públicos > - **Política de redes sociais:** Proibir funcionários de públicar conteúdo geotagueado dentro de instalações sensíveis > - **Revisão de metadados EXIF:** Remover metadados de documentos antes da públicação - ferramentas como ExifTool ou políticas de DLP > - **Monitoramento de exposição OSINT:** Realizar varreduras periódicas para identificar o que está públicamente disponível sobre a organização > - **Registros CNPJ:** Utilizar endereço de correspondência separado do endereço operacional onde possível ## Contexto Brasil/LATAM O Brasil apresenta características únicas que tornam esta técnica particularmente eficaz no contexto regional: **Alta exposição regulatória:** A legislação brasileira exige públicação de dados corporativos no Diário Oficial e nos registros da Receita Federal, incluindo endereços de filiais. Isso cria um mapa estruturado e atualizado de instalações de qualquer empresa de capital aberto ou de médio/grande porte. **Concentração geográfica:** A concentração de sedes corporativas e de TI no eixo São Paulo–Rio de Janeiro, com data centers principalmente em Alphaville, Tamboré, e Cotia (SP), facilita o planejamento de ataques direcionados a múltiplos alvos simultaneamente. **Infraestrutura crítica exposta:** Setores como energia elétrica (ONS, distribuidoras), telecomúnicações (Anatel, operadoras), e financeiro (FEBRABAN, bancos) têm infraestrutura física bem documentada em públicações regulatórias e relatórios de sustentabilidade. **Casos documentados na região:** O grupo [[g0059-magic-hound|Magic Hound]] conduziu operações contra pesquisadores nucleares e de defesa em múltiplos países, utilizando coleta de localização física como etapa de planejamento. Grupos de [[_groups|ameaças persistentes]] ativos contra o Brasil, como Gelsemium e grupos financeiramente motivados do Leste Europeu, utilizam técnicas similares de reconhecimento geográfico. > [!example] Exemplo Prático LATAM > Em 2023-2024, campanhas de espionagem contra ministérios governamentais no Brasil incluíram fase de reconhecimento onde adversários mapearam escritórios regionais via públicações em diários oficiais estaduais, identificando instalações com menor nível de segurança para usar como vetor inicial preferêncial. ## Referências - [MITRE ATT&CK - T1591.001 Determine Physical Locations](https://attack.mitre.org/techniques/T1591/001/) - [MITRE ATT&CK - T1591 Gather Victim Org Information](https://attack.mitre.org/techniques/T1591/) - [[m1056-pre-compromise|M1056 - Pre-compromise]] - Mitigação primária - [[g0059-magic-hound|Magic Hound]] - Grupo documentado usando esta técnica - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - Técnica complementar de coleta - [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] - Técnica de coleta via sites da vítima - [[t1593-001-social-media|T1593.001 - Social Media]] - Coleta via redes sociais - [[t1566-phishing|T1566 - Phishing]] - Técnica de exploração downstream - [[t1200-hardware-additions|T1200 - Hardware Additions]] - Ataque físico viabilizado pelo reconhecimento - [Receita Federal - Consulta CNPJ](https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjreva_solicitacao.asp) - [CERT.br - Boas práticas de segurança](https://www.cert.br/docs/seg-fisica/) --- *Fonte: [MITRE ATT&CK - T1591.001](https://attack.mitre.org/techniques/T1591/001) | Versão MITRE: 16.2*