Kybernetická špionáž: ESET odhalil skupinu FamousSparrow sledující vlády, společnosti a hotely

Skupina FamousSparrow využívá zranitelnost v Microsoft Exchange, která je známá již od března 2021. Bezpečnostní analytici společnosti ESET odhalili novou skupinu útočníků, která se po celém světě zaměřuje na vládní a mezinárodní instituce, technologické společnosti, právnické firmy a ve velké míře také na hotelové řetězce. Analytici společnosti ESET tuto skupinu označují jako FamousSparrow a domnívají se, že je aktivní již od roku 2019. Podle cílů jejích útoků se jedná s velkou pravděpodobností o kyberšpionáž. Česku se prozatím vyhýbá.

Bezpečnostní odborníci na základě telemetrických dat a z vyšetřování bezpečnostních incidentů zjistil, že útočníci ze skupiny FamousSparrow využívají zranitelnost systému Microsoft Exchange, která je známá pod označením ProxyLogon. Tato zranitelnost se týkala i množství serverů v České republice.

Zranitelné Exchange servery se staly cílem více než 10 APT skupin po celém světě, konkrétně v Evropě (Francie, Lotyšsko a Velká Británie), na Blízkém východě (Izrael a Saudská Arábie), na americkém kontinentu (Brazílie, Kanada a Guatemala), v Asii (Taiwan) a v Africe (Burkina Faso). APT neboli „Advanced Persistent Threat” je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže. V České republice se tyto aktivity prozatím nepotvrdily.

Obrázek: Kybernetická špionáž: ESET odhalil skupinu FamousSparrow sledující vlády, společnosti a hotely

Zranitelnost ProxyLogon zneužívají FamousSparrow úspěšně i nadále. Instituce totiž často neaktualizují své systémy. Foto: Freepik

Záplata existuje, hackeři zneužívají zranitelnosti neaktualizovaných systémů

Podle telemetrie společnosti ESET začala skupina FamousSparrow zneužívat zranitelnost 3. března 2021, tedy den po vydání oficiální záplaty. Jde tedy o další APT skupinu, která měla v březnu 2021 přístup ke zranitelnosti ProxyLogon pro vzdálené spuštění kódu.

Objev zranitelností v Exchange serveru byl další případ, který nám ukazuje, jak je kriticky důležité být na podobnou situaci připraven. A připraven zde znamená mít zavedené postupy a nástroje, které vám umožní rychle a adekvátně zareagovat. Řešením může být okamžité nasazení bezpečnostní opravy nebo i jiného alternativního řešení, které zamezí zneužití zranitelnosti. V kritických situacích může být řešením i dočasné odpojení vystavené služby. Vždy ale záleží na konkrétních podmínkách a posouzení možných dopadů versus přínosů,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. 

Skupina FamousSparrow je v tuto chvíli jediná, která využívá svůj vlastní škodlivý kód, který byl objeven během vyšetřování incidentů a pojmenován jako SparrowDoor. Skupina využívá také dvě vlastní verze nástroje Mimikatz,“ dodává Dvořák.

Nepřehlédněte:

Ačkoli bezpečnostní analytici považují FamousSparrow za samostatnou skupinu útočníků, existují i určité důkazy o jejím možném propojení s jinými známými skupinami. V jednom případě útočníci nasadili na napadené zařízení Motnug loader, který je spojován se skupinou SparklingGoblin. V dalším případě byl na zařízení kompromitovaném skupinou FamousSparrow nalezen běžící nástroj Metasploit využívající jako řídící a kontrolní centrum server cdn.kkxx888666[.]com. Tato doména je přitom spojována s další útočnou skupinou DRDControl.

Odebírat
Upozornit na
guest
0 Komentářů
Inline Feedbacks
View all comments
Obrázek: Huawei se Evropy nevzdá, představilo nový obchod, "rtěnku" a hodinky
Huawei se Evropy nevzdá, představilo nový obchod, „rtěnku“ a hodinky
Obrázek: Levné minipočítače Raspberry Pi poprvé v historii zdražují. Mohou za to čipy
Levné minipočítače Raspberry Pi poprvé v historii zdražují. Mohou za to čipy
Obrázek: Znáte značku Vivo? Stala se 4. největším výrobcem chytrých telefonů
Znáte značku Vivo? Stala se 4. největším výrobcem chytrých telefonů
Obrázek: Aktualizace Windows 10 má chyby, tiskárny od HP, Canon, Brother, Panasonic a Ricoh mohou mít problémy
Aktualizace Windows 10 má chyby, tiskárny od HP, Canon, Brother, Panasonic a Ricoh mohou mít problémy
Obrázek: Platby s náramkem Xiaomi konečně fungují v ČR. Zatím jen někde
Platby s náramkem Xiaomi konečně fungují v ČR. Zatím jen někde
Obrázek: Pozor na podvodné e-maily od Netflixu: Jsou česky a kradou údaje i čísla karet
Pozor na podvodné e-maily od Netflixu: Jsou česky a kradou údaje i čísla karet
Obrázek: Jak snadno stáhnout aplikace do mobilu Huawei? Je to čím dál jednodušší
Jak snadno stáhnout aplikace do mobilu Huawei? Je to čím dál jednodušší
Obrázek: Tip z Microsoftu: Jak nainstalovat Windows 11 na PC s nepodporovaným procesorem?
Tip z Microsoftu: Jak nainstalovat Windows 11 na PC s nepodporovaným procesorem?