SparrowDoor Backdoor, ένα Custom Trojan από το FamousSparrow APT
Η ομάδα FamousSparrow Advanced Persistent Threat (APT) είναι ένα αρκετά νέο όνομα στον τομέα του εγκλήματος στον κυβερνοχώρο. Πρόσφατα, οι δραστηριότητες και οι καμπάνιες τους έχουν παρατηρηθεί από ερευνητές κακόβουλου λογισμικού και το πρώτο εμφύτευμα που χρησιμοποιούν οι εγκληματίες έχει αποκαλυφθεί. Η απειλή, που ονομάζεται SparrowDoor, χρησιμοποιείται σε επιθέσεις κατά της ξενοδοχειακής βιομηχανίας. Ωστόσο, ορισμένα αντίγραφα του SparrowDoor Backdoor εμφανίστηκαν επίσης σε δίκτυα που ανήκουν σε μηχανικές εταιρείες, δικηγορικά γραφεία και κυβερνητικά όργανα. Ο κατάλογος των χωρών που στοχεύει το FamousSparrow APT είναι μάλλον μακρύς - Καναδάς, Ισραήλ, Γαλλία, Ταϊβάν, Λιθουανία, Βραζιλία και πολλές άλλες.
Συχνά, οι φορείς απειλής υψηλού προφίλ βασίζονται σε μηνύματα ηλεκτρονικού "ψαρέματος" για να διεισδύσουν στην ασφάλεια ενός δικτύου εκμεταλλευόμενοι τους εργαζόμενους. Ωστόσο, το SparrowDoor φαίνεται να μολύνει συχνά συστήματα μέσω εκμετάλλευσης ευάλωτων εφαρμογών συνδεδεμένων στο Web. Εν ολίγοις, αυτό σημαίνει ότι οι εγκληματίες συνήθως αναζητούν συστήματα που τρέχουν ξεπερασμένο λογισμικό, το οποίο έχει ορισμένα τρωτά σημεία.
Το SparrowDoor Backdoor εστιάζει στις επιχειρήσεις κατασκοπείας
Μόλις τεθεί σε λειτουργία, η πίσω πόρτα δημιουργεί μια νέα υπηρεσία και χρησιμοποιεί επίσης το Μητρώο των Windows για να κερδίσει επιμονή. Τα αρχεία του συνήθως αποθηκεύονται στο φάκελο % APPDATA %, χρησιμοποιώντας πλαστά ονόματα. Για να ελέγξουν την πίσω πόρτα, οι επιτιθέμενοι πρέπει να πραγματοποιήσουν έλεγχο ταυτότητας χρησιμοποιώντας ένα όνομα χρήστη και έναν κωδικό πρόσβασης. Οι εγκληματίες μπορούν να χρησιμοποιήσουν το SparrowDoor για να εκτελέσουν τις ακόλουθες εργασίες:
- Τροποποιήστε το σύστημα αρχείων.
- Διαχειριστείτε διαδικασίες που εκτελούνται.
- Κλέψτε συγκεκριμένα αρχεία.
- Αναζητήστε συγκεκριμένα αρχεία και μεταφέρετέ τα στον διακομιστή ελέγχου.
- Εκτελέστε απομακρυσμένες εντολές.
- Αφαιρέστε το εμφύτευμα.
Οι χάκερ βασίζονται κυρίως στην εκμετάλλευση τρωτών σημείων στο SharePoint, τον Microsoft Exchange Server και το Oracle Opera. Ωστόσο, δεν υπάρχει όριο στον αριθμό των εφαρμογών που αντιμετωπίζουν το Διαδίκτυο που στοχεύουν. Οι διαχειριστές ιστού θα πρέπει να λάβουν τα απαιτούμενα μέτρα για την ενημέρωση όλου του λογισμικού, προκειμένου να αποτρέψουν τη διείσδυση του SparrowDoor και παρόμοιων απειλών στην ασφάλειά τους.
