# T1591.002 - Business Relationships > [!info] Técnica MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1591.002 · **Plataforma:** PRE (pré-comprometimento) > **Técnica pai:** [[t1591-gather-victim-org-information|T1591 - Gather Victim Org Information]] ## Descrição Adversários coletam informações sobre os **relacionamentos de negócios** da organização-alvo para identificar caminhos alternativos de comprometimento. O objetivo central é mapear o ecossistema de parceiros, fornecedores, prestadores de serviços e clientes que possuem **acesso privilegiado ou elevado** à infraestrutura da vítima principal - transformando elos mais fracos da cadeia em vetores de ataque contra alvos mais robustos. Informações sobre relacionamentos empresariais podem incluir: fornecedores de software e hardware com acesso remoto à rede, provedores de serviços gerenciados (MSPs) que administram infraestrutura crítica, empresas de segurança com acesso a sistemas de monitoramento, integradores de sistemas com credenciais privilegiadas, parceiros de supply chain com conexões de rede dedicadas, e auditores ou consultores com acesso temporário a dados sensíveis. Adversários coletam essas informações de diversas maneiras: elicitação direta via [[t1598-phishing-for-information|Phishing for Information]], exposição em fontes abertas como [[t1593-001-social-media|Social Media]] corporativa, sites de relacionamentos profissionais (LinkedIn), comúnicados de imprensa sobre parcerias, relatórios anuais e [[t1594-search-victim-owned-websites|Search Victim-Owned Websites]]. Esta inteligência sobre relacionamentos empresariais alimenta diretamente técnicas de acesso inicial como [[t1195-supply-chain-compromise|Supply Chain Compromise]], [[t1189-drive-by-compromise|Drive-by Compromise]] e [[t1199-trusted-relationship|Trusted Relationship]] - a essência do ataque de supply chain moderno. A vítima original pode ser um fornecedor de software com acesso onipresente à infraestrutura de centenas de clientes. ## Como Funciona O mapeamento de relacionamentos empresariais segue uma métodologia sistemática que combina múltiplas fontes de inteligência: **1. Mapeamento de Supply Chain via OSINT** O adversário pesquisa fontes abertas para identificar fornecedores críticos: - **Relatórios anuais e formulários regulatórios:** Empresas de capital aberto (CVM, SEC) divulgam fornecedores críticos e riscos de terceiros em seus relatórios, criando mapas de dependência riquíssimos - **LinkedIn e redes profissionais:** Identificação de funcionários que trabalham para a organização-alvo mas são contratados de empresas terceirizadas (MSPs, consultorias, integradores) - **Comúnicados de parceria:** Press releases anunciando integrações tecnológicas, contratos de fornecimento ou parcerias estratégicas revelam quais terceiros têm acesso privilegiado - **Certificações e conformidade:** Documentos de certificação (ISO 27001, SOC 2, PCI-DSS) frequentemente listam parceiros de auditoria e provedores de serviços de segurança **2. Identificação de MSPs e Provedores de Segurança** Managed Service Providers são alvos especialmente valiosos: um único MSP pode fornecer acesso simultâneo a dezenas ou centenas de clientes. Adversários pesquisam quais MSPs aténdem a organização-alvo através de: - Assinaturas digitais em e-mails corporativos (identificam plataformas de e-mail gerenciadas) - Cabeçalhos HTTP e certificados TLS (identificam CDNs, WAFs e provedores de hospedagem) - Pesquisa de domínios relacionados e registros DNS (identificam provedores de DNS gerenciado) - Menções em fóruns de suporte técnico e tickets públicos **3. Análise de Dependências de Software** Repositórios públicos de código e gestores de dependências (npm, PyPI, Maven) revelam quais bibliotecas e componentes de terceiros são utilizados pela organização. Uma vulnerabilidade ou comprometimento de uma dessas dependências pode afetar indiretamente o alvo - a essência do ataque de [[t1195-supply-chain-compromise|Supply Chain Compromise]] como o caso SolarWinds. **4. Engenharia Social Direcionada** O adversário pode realizar elicitação direta para confirmar relacionamentos e identificar parceiros com acesso privilegiado - ligando para o helpdesk fingindo ser de um fornecedor, enviando e-mails de phishing temáticos com referências a fornecedores conhecidos, ou abordando funcionários do fornecedor em redes sociais. ## Attack Flow ```mermaid graph TB A["🎯 Alvo Principal Identificado<br/>Organização com segurança robusta<br/>difícil de comprometer diretamente"] --> B["🔍 Mapeamento de Ecossistema<br/>Identificação de fornecedores,<br/>MSPs, parceiros, integradores"] B --> C["📊 Fontes Abertas<br/>LinkedIn, relatórios anuais,<br/>comúnicados de parceria,<br/>certificações públicas"] B --> D["🌐 Análise Técnica<br/>DNS, TLS, cabeçalhos HTTP,<br/>dependências de software,<br/>registros de domínio"] C --> E["🔗 Identificação de Elo Fraco<br/>Fornecedor/MSP com acesso<br/>privilegiado e menor maturidade<br/>de segurança"] D --> E E --> F["⚔️ Comprometimento do Terceiro<br/>Ataque ao fornecedor:<br/>phishing, exploração de vuln,<br/>compromisso de credenciais"] F --> G["🔓 Acesso Privilegiado ao Alvo<br/>Usando confiança estabelecida:<br/>VPN do MSP, atualizações<br/>de software, suporte remoto"] G --> H["💥 Operação no Alvo Principal<br/>Movimento lateral, coleta<br/>de dados, ransomware,<br/>espionagem persistente"] style A fill:#1a1a2e,color:#e0e0e0 style E fill:#3d1a00,color:#ffddaa style H fill:#4a0000,color:#ffcccc ``` ## Exemplos de Uso ### Dragonfly - Ataque a Fornecedores do Setor de Energia O grupo [[g0035-dragonfly|Dragonfly]] (também conhecido como Energetic Bear, BERSERK BEAR) é um dos casos mais documentados de uso de T1591.002. O grupo realizou reconhecimento extensivo de relacionamentos empresariais no setor de energia norte-americano e europeu, identificando fabricantes de equipamentos ICS/SCADA, integradores de sistemas e provedores de software de controle industrial com acesso privilegiado a infraestrutura crítica. A operação comprometeu primeiro os fornecedores para depois penetrar nas concessionárias de energia, coletando credenciais e mapeando sistemas de controle. Esta tática é diretamente relevante para o setor de [[_sectors|energia elétrica]] brasileiro, onde a dependência de fornecedores de software industrial internacionais é alta. ### LAPSUS$ - Comprometimento via Funcionários de Terceiros O grupo [[g1004-lapsus|LAPSUS$]], com participação confirmada de membros brasileiros, demonstrou maestria na exploração de relacionamentos de negócios. O grupo mapeou quais MSPs, provedores de identidade (Okta, Sitel) e fornecedores de telecomúnicações tinham acesso privilegiado às redes das vítimas-alvo. Ao comprometer o suporte técnico terceirizado da Okta em 2022, o LAPSUS$ obteve acesso potencial a centenas de clientes da plataforma de identidade, exemplificando o modelo de "supplier as a vector". A presença de membros brasileiros no grupo indica conhecimento do ambiente corporativo local e de seus relacionamentos de fornecimento. ### Sandworm Team - Ataques à Infraestrutura Ucraniana via Supply Chain A [[g0034-sandworm|Sandworm Team]] (GRU, Rússia) mapeou sistematicamente os relacionamentos empresariais das concessionárias de energia ucranianas antes dos ataques de 2015 e 2016 que deixaram regiões sem energia. O grupo identificou quais fornecedores de software SCADA, empresas de engenharia e provedores de serviços tinham acesso remoto às redes industriais. O ataque NotPetya em 2017, que afetou empresas globais incluindo subsidiárias de multinacionais no Brasil, seguiu o mesmo padrão de comprometimento via fornecedora de software de contabilidade ucraniana (M.E.Doc). ### Ataques a Fintechs Brasileiras via Provedores de Pagamento Um padrão emergente no Brasil envolve o reconhecimento de relacionamentos entre fintechs e seus provedores de infraestrutura de pagamentos (processadoras, bandeiras, sistemas antifraude). Grupos criminosos brasileiros identificam quais empresas de tecnologia têm integração direta com sistemas do Banco Central e utilizam esse mapeamento para direcionar ataques que exploram a confiança estabelecida nessas integrações. ## Detecção A detecção de T1591.002 é desafiadora pois o reconhecimento de relacionamentos empresariais frequentemente usa fontes abertas legítimas. As estrategias efetivas monitoram sinais indiretos de reconhecimento ativo: ### Monitoramento de Acesso de Terceiros com Anomalias ```yaml title: Acesso de Fornecedor Terceirizado com Comportamento Anômalo status: experimental logsource: category: authentication product: privileged-access-management detection: selection: account_type: "service_account_vendor" event_type: "privileged_access" anomaly: access_time_outside_window: true accessed_systems_count_gt: 10 lateral_movement_detected: true condition: selection and anomaly level: critical tags: - attack.reconnaissance - attack.t1591.002 - attack.t1199 ``` ### Detecção de Enumeração de Parceiros via Requisições Anômalas ```yaml title: Scraping de Informações de Parceiros e Fornecedores no Site Corporativo status: experimental logsource: category: web-application-firewall product: waf detection: selection: http_path|contains: - "/partners" - "/suppliers" - "/vendors" - "/about/partners" - "/procurement" request_raté_per_ip_per_minute|gt: 20 user_agent_suspicious: true condition: selection level: medium tags: - attack.reconnaissance - attack.t1591.002 - attack.t1594 ``` ### Estrategias Proativas - **Programa de Gestão de Risco de Terceiros (TPRM):** Inventariar todos os fornecedores com acesso à rede, classificar por nível de acesso e monitorar sua postura de segurança via questionários e scans externos - **Monitoramento de menções a fornecedores:** Alertas em plataformas de threat intelligence quando fornecedores críticos são mencionados em contextos de comprometimento - **Logs de acesso de terceiros:** Garantir que todo acesso de fornecedores sejá logado, correlacionado com jánelas de manutenção aprovadas e submetido a revisão de anomalias - **Honeypot de relacionamentos:** Criar um "fornecedor fictício" com presença digital plausível e monitorar qualquer menção ou tentativa de contato usando esse nome ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-Compromise | Mitigações pré-comprometimento: limitação da exposição pública de relacionamentos com fornecedores críticos e avaliação contínua de risco de terceiros | | - | Gestão de Risco de Terceiros (TPRM) | Programa formal de avaliação de segurança de fornecedores, incluindo questionários, scans de vulnerabilidade e revisão de incidentes anteriores. Fornecedores com acesso privilegiado devem ser submetidos a auditorias periódicas | | - | Princípio do Menor Privilégio para Terceiros | Acesso de fornecedores restrito ao mínimo necessário, com escopo de rede limitado, jánelas de acesso controladas, sessões gravadas via PAM (Privileged Access Management) e revisão periódica de permissões | | - | Segmentação de Rede para Terceiros | Redes dedicadas e isoladas para acesso de fornecedores, sem visibilidade direta para sistemas críticos. VPNs de fornecedores devem terminar em DMZ com inspeção de tráfego antes de alcançar redes internas | | - | Due Diligence de Supply Chain de Software | Avaliação formal de fornecedores de software com acesso privilegiado, incluindo verificação de práticas de desenvolvimento seguro, gestão de vulnerabilidades e resposta a incidentes. Considerar SBOM (Software Bill of Materials) para componentes críticos | | - | Limitação de Informações Públicas sobre Parcerias | Revisar comúnicados de parceria, relatórios anuais e materiais de marketing para minimizar a exposição de detalhes técnicos de relacionamentos que possam ser explorados por adversários | ## Contexto Brasil/LATAM O Brasil apresenta vulnerabilidades estruturais específicas que tornam T1591.002 particularmente relevante no contexto nacional: **Concentração de MSPs e integradoras:** O mercado brasileiro de tecnologia é dominado por um número relativamente pequeno de grandes integradoras e MSPs que aténdem simultaneamente múltiplas organizações de setores críticos. Um comprometimento de um MSP de médio porte pode fornecer acesso a dezenas de clientes - bancos, seguradoras, varejistas e órgãos governamentais - de uma só vez. **Open Finance e ecossistema PIX:** A implementação do Open Finance no Brasil criou um ecossistema denso de relacionamentos entre instituições financeiras, fintechs, provedores de APIs e empresas de certificação digital. Este ecossistema interconectado amplia significativamente a superfície de ataque via supply chain. O Banco Central exige que participantes do Open Finance mantenham cadastro público de suas integrações - informação valiosa para reconhecimento de T1591.002. **Terceirização em infraestrutura crítica:** Empresas como Petrobras, Eletrobras e concessionárias de saneamento dependem extensivamente de terceiros para operação e manutenção de sistemas industriais. A [[g0034-sandworm|Sandworm Team]] e o [[g0035-dragonfly|Dragonfly]] demonstraram interesse histórico em mapear esses relacionamentos de fornecimento em setores de energia - o Brasil, como maior produtor de petróleo do hemisfério sul, é alvo natural desse reconhecimento. **LAPSUS$ e o conhecimento do cenário brasileiro:** A participação documentada de membros brasileiros no grupo [[g1004-lapsus|LAPSUS$]] demonstra que existe expertise local no mapeamento de relacionamentos empresariais do ecossistema corporativo brasileiro. Esse conhecimento do ambiente local - incluindo quais provedores de identidade, telecomúnicações e MSPs dominam o mercado brasileiro - representa uma vantagem operacional significativa para grupos criminosos com conexões no país. **Cadeia de suprimentos de hardware:** O Brasil, como grande importador de equipamentos de TI e infraestrutura de telecomúnicações, está exposto a riscos de comprometimento de supply chain de hardware. O mapeamento de fornecedores de equipamentos por atores como grupos APT chineses pode preceder ataques direcionados à cadeia logística de importação de equipamentos críticos. > [!warning] Vetor Subestimado > Pesquisas mostram que mais de 60% das organizações brasileiras não têm visibilidade completa de quais terceiros têm acesso privilegiado à sua rede. Esta lacuna torna T1591.002 um dos vetores de reconhecimento mais efetivos e subestimados no contexto brasileiro - a porta de entrada mais provável para ataques de supply chain sofisticados. ## Referências - [MITRE ATT&CK - T1591.002 Business Relationships](https://attack.mitre.org/techniques/T1591/002) - [CISA - Supply Chain Risk Management Practices](https://www.cisa.gov/supply-chain-risk-management) - [CISA/NSA - Defending Against Software Supply Chain Attacks](https://www.cisa.gov/resources-tools/resources/defending-against-software-supply-chain-attacks) - [Mandiant - Dragonfly: Western Energy Sector Targeted by Advanced Attack Group](https://www.mandiant.com/resources/blog/dragonfly-western-energy-sector) - [Lapsus$ Group - OKTA Breach Analysis (2022)](https://www.mandiant.com/resources/blog/unc3661-unc3944) - [Banco Central do Brasil - Open Finance Participantes](https://openfinancebrasil.org.br/participantes/) - [CERT.br - Gestão de Risco de Terceiros](https://www.cert.br/) - [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] - [[t1199-trusted-relationship|T1199 - Trusted Relationship]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1593-001-social-media|T1593.001 - Social Media]] - [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] - [[t1585-establish-accounts|T1585 - Establish Accounts]] - [[t1586-compromise-accounts|T1586 - Compromise Accounts]] --- *Fonte: [MITRE ATT&CK - T1591.002](https://attack.mitre.org/techniques/T1591/002) · Versão 16.2*