Kybernetická špionáž: ESET odhalil skupinu FamousSparrow sledující vlády, společnosti a hotely

Skupina FamousSparrow využívá zranitelnost v Microsoft Exchange, která je známá již od března 2021. Bezpečnostní analytici společnosti ESET odhalili novou skupinu útočníků, která se po celém světě zaměřuje na vládní a mezinárodní instituce, technologické společnosti, právnické firmy a ve velké míře také na hotelové řetězce. Analytici společnosti ESET tuto skupinu označují jako FamousSparrow a domnívají se, že je aktivní již od roku 2019. Podle cílů jejích útoků se jedná s velkou pravděpodobností o kyberšpionáž. Česku se prozatím vyhýbá.

Bezpečnostní odborníci na základě telemetrických dat a z vyšetřování bezpečnostních incidentů zjistil, že útočníci ze skupiny FamousSparrow využívají zranitelnost systému Microsoft Exchange, která je známá pod označením ProxyLogon. Tato zranitelnost se týkala i množství serverů v České republice.

Zranitelné Exchange servery se staly cílem více než 10 APT skupin po celém světě, konkrétně v Evropě (Francie, Lotyšsko a Velká Británie), na Blízkém východě (Izrael a Saudská Arábie), na americkém kontinentu (Brazílie, Kanada a Guatemala), v Asii (Taiwan) a v Africe (Burkina Faso). APT neboli „Advanced Persistent Threat” je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže. V České republice se tyto aktivity prozatím nepotvrdily.

Obrázek: Kybernetická špionáž: ESET odhalil skupinu FamousSparrow sledující vlády, společnosti a hotely

Zranitelnost ProxyLogon zneužívají FamousSparrow úspěšně i nadále. Instituce totiž často neaktualizují své systémy. Foto: Freepik

Záplata existuje, hackeři zneužívají zranitelnosti neaktualizovaných systémů

Podle telemetrie společnosti ESET začala skupina FamousSparrow zneužívat zranitelnost 3. března 2021, tedy den po vydání oficiální záplaty. Jde tedy o další APT skupinu, která měla v březnu 2021 přístup ke zranitelnosti ProxyLogon pro vzdálené spuštění kódu.

Objev zranitelností v Exchange serveru byl další případ, který nám ukazuje, jak je kriticky důležité být na podobnou situaci připraven. A připraven zde znamená mít zavedené postupy a nástroje, které vám umožní rychle a adekvátně zareagovat. Řešením může být okamžité nasazení bezpečnostní opravy nebo i jiného alternativního řešení, které zamezí zneužití zranitelnosti. V kritických situacích může být řešením i dočasné odpojení vystavené služby. Vždy ale záleží na konkrétních podmínkách a posouzení možných dopadů versus přínosů,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. 

Skupina FamousSparrow je v tuto chvíli jediná, která využívá svůj vlastní škodlivý kód, který byl objeven během vyšetřování incidentů a pojmenován jako SparrowDoor. Skupina využívá také dvě vlastní verze nástroje Mimikatz,“ dodává Dvořák.

Nepřehlédněte:

Ačkoli bezpečnostní analytici považují FamousSparrow za samostatnou skupinu útočníků, existují i určité důkazy o jejím možném propojení s jinými známými skupinami. V jednom případě útočníci nasadili na napadené zařízení Motnug loader, který je spojován se skupinou SparklingGoblin. V dalším případě byl na zařízení kompromitovaném skupinou FamousSparrow nalezen běžící nástroj Metasploit využívající jako řídící a kontrolní centrum server cdn.kkxx888666[.]com. Tato doména je přitom spojována s další útočnou skupinou DRDControl.

Obrázek: CERN povede uznávaný fyzik, čekají ho nelehké časy a nový urychlovač částic
CERN povede uznávaný fyzik, čekají ho nelehké časy a nový urychlovač částic
Obrázek: Kolos s výkonem tanku a tichostí odstřelovače: Obří Tatra Force e-Drive Hybrid jezdí na elektřinu i naftu
Kolos s výkonem tanku a tichostí odstřelovače: Obří Tatra Force e-Drive Hybrid jezdí na elektřinu i naftu
Obrázek: Vánoční kampaň O2 je jako prodej hrnců: Nenechte se vystrašit, i 4G telefon může být bezpečný
Vánoční kampaň O2 je jako prodej hrnců: Nenechte se vystrašit, i 4G telefon může být bezpečný
Obrázek: Gadget pro milovníky tabáku: IQOS má nově funkci pauzy, na český trh míří chytřejší IQOS ILUMA i
Gadget pro milovníky tabáku: IQOS má nově funkci pauzy, na český trh míří chytřejší IQOS ILUMA i
Obrázek: Black Friday letos odstartoval extrémně brzy: Jak si ověřit, že je sleva skutečná?
Black Friday letos odstartoval extrémně brzy: Jak si ověřit, že je sleva skutečná?
Obrázek: Jak vyfotit kometu mobilem? 5 tipů, jak dosáhnout skvělých výsledků
Jak vyfotit kometu mobilem? 5 tipů, jak dosáhnout skvělých výsledků
Obrázek: Jak snadno najít kometu na obloze? S mobilní aplikací ji najdete za pár sekund
Jak snadno najít kometu na obloze? S mobilní aplikací ji najdete za pár sekund
Obrázek: Zaplavila vám elektroniku voda? Do rýže ji nestrkejte. Jak zachránit velké domácí spotřebiče?
Zaplavila vám elektroniku voda? Do rýže ji nestrkejte. Jak zachránit velké domácí spotřebiče?