Támadást hajtott végre a Kínához köthető FamousSparrow csoport

Az ESET kutatói felfedezték, hogy a FamousSparrow hackercsoport felelős egy pénzügyi szektorban működő amerikai kereskedelmi szervezet és egy mexikói kutatóintézet ellen elkövetett kibertámadásért.

Az ESET egy pénzügyi szektorban működő amerikai kereskedelmi szervezet hálózatán észlelt gyanús tevékenységet. Az érintett vállalatnak nyújtott segítség és az incidens kivizsgálása során a kutatók váratlan felfedezést tettek: a támadásban a Kínához köthető FamousSparrow APT csoport kártékony eszközeit használták. A csoportot sokan inaktívnak hitték, mivel 2022 óta nem születtek nyilvános jelentések a tevékenységéről. Az ESET vizsgálata azonban kimutatta, hogy a FamousSparrow nemcsak aktív maradt ebben az időszakban, hanem tovább is fejlesztette eszköztárát, ugyanis a feltört hálózat két korábban nem ismert SparrowDoor verziót is tartalmazott, amely a FamousSparrow kiemelt hátsó ajtó programja.
 
Az ESET Research további nyomozása során kiderült, hogy a csoport 2022 és 2024 között több célpontot is támadott, köztük 2024 június végén egy hondurasi kormányzati intézményt és egy mexikói kutatóintézetet. Utóbbit mindössze néhány nappal az amerikai támadás előtt sikerült megfertőzniük. A SparrowDoor új verziói jelentős fejlesztéseket mutatnak a korábbi verziókhoz képest, különösen a kódminőség és az architektúra terén, emellett az egyik a parancsok párhuzamos végrehajtására is képes.
 
„Bár ezek az új verziók jelentős fejlesztéseket tartalmaznak, egyértelműen visszavezethetők a korábbi, nyilvánosan dokumentált változatokra. A legutóbbi támadásokban használt betöltők (loaderek) jelentős kódegyezéseket mutatnak a FamousSparrow korábbi mintáival” – mondta az incidenst feltáró Alexandre Côté Cyr, az ESET kutatója.
 
A FamousSparrow az IIS szerveren egy webshellt, azaz olyan rosszindulatú programot telepített, amelyek lehetővé teszik a szerver távoli vezérlését a böngészőn keresztül. Bár az ESET nem tudta pontosan meghatározni, hogy milyen sérülékenységet használtak ki a webshell telepítéséhez, az áldozatok elavult Windows Server és Microsoft Exchange verziókat futtattak, amelyekhez több ismert, nyilvánosan elérhető kihasználási (exploit) módszer létezik.
 
A támadók által használt eszköztár egyedi fejlesztésű és más, Kínához köthető APT-csoportoktól származó rosszindulatú eszközök keveréke volt, valamint nyílt forráskódú kártevőket is alkalmaztak. A végső cél a SparrowDoor és a ShadowPad hátsó ajtók telepítése volt. Az általuk használt bővítmények (pluginek) között akadt, amely parancsok végrehajtását, fájlrendszeri műveletek végzését, billentyűleütések naplózását, fájlok átvitelét, folyamatok listázását és leállítását, a fájlrendszer változásainak figyelését, képernyőképek készítését tette lehetővé.
 
2024 szeptemberében a Wall Street Journal közzétett egy cikket arról, hogy egy Salt Typhoon nevű fenyegető szereplő feltörte az Egyesült Államok internetszolgáltatóit. A Microsoft információira hivatkozva a cikk azt írta, a támadó csoport megegyezik a FamousSparrow-val és a GhostEmperorral.
 
„Ez volt az első nyilvános beszámoló, amely összemosta a két szerveződést. Mi azonban a GhostEmperort és a FamousSparrow-t két különálló csoportnak tekintjük. Bár van némi átfedés közöttük, számos eltérés is megfigyelhető. Az adataink és a nyilvánosan elérhető jelentések elemzése alapján a FamousSparrow egy különálló entitás, amely csak lazán kapcsolódik a többi csoporthoz” – magyarázta Côté Cyr.
 
A FamousSparrow egy kiberkémkedési csoport, amely legalább 2019 óta aktív. Az ESET 2021-ben dokumentálta először, amikor a ProxyLogon sérülékenységet kihasználva támadásokat hajtott végre. Kezdetben a csoport fő célpontjai szállodák voltak világszerte, de azóta kormányzati szervezeteket, nemzetközi intézményeket, mérnöki cégeket és ügyvédi irodákat is célba vettek. A FamousSparrow az egyetlen ismert csoport, amely a SparrowDoor hátsó ajtót használja.