Microsoft Exchange foi usado para espionar hotéis e governos

Microsoft Exchange foi usado para espionar hotéis e governos

Por Dácio Castelo Branco | Editado por Claudio Yuge | 24 de Setembro de 2021 às 20h30
Msporch/Pixabay

Um novo grupo responsável por crimes de ciberespionagem foi descoberto pela ESET. Segundo a empresa, essa equipe é responsável por vários incidentes de segurança em hotéis e governos pelo menos desde 2019.

Chamado de FamousSparrow, a ESET descreve o grupo de criminosos como uma ameaça persistente avançada, ou seja, a equipe faz uso de técnicas de invasão contínuas e sofisticadas para obter acesso e permanecer por um bom tempo em sistemas. A empresa de segurança afirma que esses espiões virtuais já atuaram no mundo inteiro, como na França e até mesmo o Brasil, durante os últimos dois anos.

Segundo o relatório da ESET, os criminosos fazem uso de diversos vetores de ataque para realizar suas espionagens, como vulnerabilidades no Microsoft SharePoint que permitem a execução remota de código. Mas as principais falhas usadas pelo grupo são chamadas de ProxyLogon, encontradas em versões antigas do Microsoft Exchange.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

ProxyLogon é o nome dado para um conjunto de falhas em versões antigas do Microsoft Exchange. Essas vulnerabilidades permitem que diversos atores maliciosos entrem em sistemas e ficassem os espionando. Em casos mais extremos, a falha também foi usada como vetor de ataques de sequestro virtual (ransomware).

Em março deste ano, após muitas notícias dessas falhas sendo usadas em ataques ransomware, a Microsoft disponibilizou atualizações para o Exchange que corrigiam essas vulnerabilidades.

Segundo o relatório da ESET, o FamousSparrow, um dia após a disponibilização da atualização do Microsoft Exchange, começou a direcionar suas invasões em sistemas que ainda usassem versões anteriores do software.

Além do uso do ProxyLogon, o grupo de criminosos também faz uso de um ataque backdoor própria chamada SparrowDoor, que implanta no sistema invadido vários malwares. Esses vírus faz com que criminosos possam renomear e deletar arquivos, criar pastas, desativar processos, mandar informações como tamanho e atributo de documentos, registrar informações em arquivos específicos e estabelecer um comando remoto na máquina das vítimas. Por fim, o SparrowDoor também conta com uma função de auto-destruição, que apaga todos os rastros da invasão do computador.

Conexão com outras ameaças persistentes

O relatório da ESET também cita o fato que os pesquisadores encontraram possíveis conexões do FamousSparrow com outros grupos criminosos considerados ameaças avançadas persistentes.

Porém, mesmo com esses indicativos, a empresa de cibersegurança considera o FamousSparrow um grupo separado dos outros. Para os pesquisadores, os membros dessa equipe criminosa em algum momento obteram acesso a sistemas de hotéis e começaram a fazer espionagem e, após algum tempo, começaram a mirar em alvos mais importantes, como governos.

Por fim, a ESET alerta da importância de todos os programas e sistemas de computadores e redes estarem sempre atualizados, para impedir que ameaças como as do grupo FamousSparrow possam acontecer.

Mais detalhes sobre o FamousSparrow podem ser encontrados no artigo da ESET sobre os criminosos.

Fonte: Bleeping Computer, ThreatPost, ESET

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.