Bezpečnostní analytici společnosti ESET odhalili novou skupinu útočníků, která se po celém světě zaměřuje na vládní a mezinárodní instituce, technologické společnosti, právnické firmy a ve velké míře také na hotelové řetězce. Skupinu označují jako FamousSparrow a domnívají se, že je aktivní již od roku 2019. Podle cílů jejích útoků se jedná s velkou pravděpodobností o kyberšpionáž. Česku se prozatím vyhýbá.

Na základě telemetrických dat a z vyšetřování bezpečnostních incidentů zjistili bezpečnostní analytici, že útočníci ze skupiny FamousSparrow využívají zranitelnost systému Microsoft Exchange, která je známá pod označením ProxyLogon. Tato zranitelnost se týkala i množství serverů v České republice.

Zranitelné Exchange servery se staly cílem více než 10 APT skupin (Advanced Persistent Threat) po celém světě

Zranitelné Exchange servery se staly cílem více než 10 APT skupin po celém světě, konkrétně v Evropě (Francie, Lotyšsko a Velká Británie), na Blízkém východě (Izrael a Saudská Arábie), na americkém kontinentu (Brazílie, Kanada a Guatemala), v Asii (Taiwan) a v Africe (Burkina Faso). APT neboli „Advanced Persistent Threat” je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže. V České republice se tyto aktivity podle zjištění společnosti prozatím nepotvrdily.

FamousSparrow je další APT skupina, která měla v březnu 2021 přístup ke zranitelnosti ProxyLogon pro vzdálené spuštění kódu

Podle telemetrie společnosti začala skupina FamousSparrow zneužívat zranitelnost 3. března 2021, tedy den po vydání oficiální záplaty. Jde tedy o další APT skupinu, která měla v březnu 2021 přístup ke zranitelnosti ProxyLogon pro vzdálené spuštění kódu.

„Objev zranitelností v Exchange serveru byl další případ, který nám ukazuje, jak je kriticky důležité být na podobnou situaci připraven. A připraven zde znamená mít zavedené postupy a nástroje, které vám umožní rychle a adekvátně zareagovat. Řešením může být okamžité nasazení bezpečnostní opravy nebo i jiného alternativního řešení, které zamezí zneužití zranitelnosti. V kritických situacích může být řešením i dočasné odpojení vystavené služby. Vždy ale záleží na konkrétních podmínkách a posouzení možných dopadů versus přínosů,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

„Skupina FamousSparrow je v tuto chvíli jediná, která využívá svůj vlastní škodlivý kód, který byl objeven během vyšetřování incidentů a pojmenován jako SparrowDoor. Skupina využívá také dvě vlastní verze nástroje Mimikatz,“ dodává Dvořák.

Ačkoli bezpečnostní analytici považují FamousSparrow za samostatnou skupinu útočníků, existují i určité důkazy o jejím možném propojení s jinými známými skupinami. V jednom případě útočníci nasadili na napadené zařízení Motnug loader, který je spojován se skupinou SparklingGoblin.

Více informací o aktivitách skupiny FamousSparrow najdete welivesecurity.com.

Zdroj: eset.com