„SparrowDoor Backdoor“, „FamousSparrow APT“ pasirinktinis Trojos arklys
„FamousSparrow Advanced Persistent Threat“ (APT) grupė yra gana naujas pavadinimas elektroninių nusikaltimų srityje. Pastaruoju metu jų veiklą ir kampanijas atidžiai stebėjo kenkėjiškų programų tyrinėtojai ir buvo atrastas pirmasis nusikaltėlių naudojamas implantas. Grėsmė, vadinama „SparrowDoor“, naudojama išpuoliams prieš viešbučių pramonę. Tačiau kai kurios „SparrowDoor Backdoor“ kopijos taip pat buvo matomos tinkluose, priklausančiuose inžinerinėms bendrovėms, advokatų kontoroms ir vyriausybinėms institucijoms. Šalių, į kurias nukreipta „FamousSparrow APT“, sąrašas yra gana ilgas - Kanada, Izraelis, Prancūzija, Taivanas, Lietuva, Brazilija ir daugelis kitų.
Dažnai aukšto lygio grėsmių veikėjai, norėdami įsiskverbti į tinklo saugumą, pasikliauna sukčiavimo pranešimais ir yra išnaudojami darbuotojai. Tačiau atrodo, kad „SparrowDoor“ dažnai užkrečia sistemas naudodamas pažeidžiamas prie interneto prijungtas programas. Trumpai tariant, tai reiškia, kad nusikaltėliai paprastai ieško sistemų, kuriose veikia pasenusi programinė įranga, kuri turi tam tikrų pažeidžiamumų.
„SparrowDoor Backdoor“ daugiausia dėmesio skiria šnipinėjimo operacijoms
Kai tik jis pradės veikti, „backdoor“ sukuria naują paslaugą ir taip pat naudoja „Windows“ registrą, kad įgytų atkaklumo. Jos failai paprastai saugomi aplanke % APPDATA %, naudojant suklastotus pavadinimus. Norėdami valdyti užpakalines duris, užpuolikai turi autentifikuoti naudodami vartotojo vardą ir slaptažodį. Nusikaltėliai gali naudoti „SparrowDoor“ šioms užduotims atlikti:
- Pakeiskite failų sistemą.
- Valdykite veikiančius procesus.
- Pavogti konkrečius failus.
- Ieškokite konkrečių failų ir perkelkite juos į valdymo serverį.
- Vykdykite nuotolines komandas.
- Nuimkite implantą.
Įsilaužėliai pirmiausia remiasi „SharePoint“, „Microsoft Exchange Server“ ir „Oracle Opera“ pažeidžiamumų išnaudojimu. Tačiau į internetą nukreiptų programų, pagal kurias jos taikomos, skaičius neribojamas. Žiniatinklio administratoriai turėtų imtis reikiamų priemonių atnaujinti visą programinę įrangą, kad „SparrowDoor“ ir panašios grėsmės nepatektų į jų saugumą.
