Microsoft Exchange foi usado para espionar hotéis e governos

Um novo grupo responsável por crimes de ciberespionagem foi descoberto pela ESET. Segundo a empresa, essa equipe é responsável por vários incidentes de segurança em hotéis e governos pelo menos desde 2019.

• Formulários do Google são usados por cibercriminosos em golpes
• Bando de ransomware estaria passando a perna nos próprios parceiros
• Criminosos ampliam busca por servidores desprotegidos por falha na VMware

Chamado de FamousSparrow, a ESET descreve o grupo de criminosos como uma ameaça persistente avançada, ou seja, a equipe faz uso de técnicas de invasão contínuas e sofisticadas para obter acesso e permanecer por um bom tempo em sistemas. A empresa de segurança afirma que esses espiões virtuais já atuaram no mundo inteiro, como na França e até mesmo o Brasil, durante os últimos dois anos.

Segundo o relatório da ESET, os criminosos fazem uso de diversos vetores de ataque para realizar suas espionagens, como vulnerabilidades no Microsoft SharePoint que permitem a execução remota de código. Mas as principais falhas usadas pelo grupo são chamadas de ProxyLogon, encontradas em versões antigas do Microsoft Exchange.

ProxyLogon é o nome dado para um conjunto de falhas em versões antigas do Microsoft Exchange. Essas vulnerabilidades permitem que diversos atores maliciosos entrem em sistemas e ficassem os espionando. Em casos mais extremos, a falha também foi usada como vetor de ataques de sequestro virtual (ransomware).

Em março deste ano, após muitas notícias dessas falhas sendo usadas em ataques ransomware, a Microsoft disponibilizou atualizações para o Exchange que corrigiam essas vulnerabilidades.

Segundo o relatório da ESET, o FamousSparrow, um dia após a disponibilização da atualização do Microsoft Exchange, começou a direcionar suas invasões em sistemas que ainda usassem versões anteriores do software.

Além do uso do ProxyLogon, o grupo de criminosos também faz uso de um ataque backdoor própria chamada SparrowDoor, que implanta no sistema invadido vários malwares. Esses vírus faz com que criminosos possam renomear e deletar arquivos, criar pastas, desativar processos, mandar informações como tamanho e atributo de documentos, registrar informações em arquivos específicos e estabelecer um comando remoto na máquina das vítimas. Por fim, o SparrowDoor também conta com uma função de auto-destruição, que apaga todos os rastros da invasão do computador.

Conexão com outras ameaças persistentes

O relatório da ESET também cita o fato que os pesquisadores encontraram possíveis conexões do FamousSparrow com outros grupos criminosos considerados ameaças avançadas persistentes.

Porém, mesmo com esses indicativos, a empresa de cibersegurança considera o FamousSparrow um grupo separado dos outros. Para os pesquisadores, os membros dessa equipe criminosa em algum momento obteram acesso a sistemas de hotéis e começaram a fazer espionagem e, após algum tempo, começaram a mirar em alvos mais importantes, como governos.

Por fim, a ESET alerta da importância de todos os programas e sistemas de computadores e redes estarem sempre atualizados, para impedir que ameaças como as do grupo FamousSparrow possam acontecer.

Mais detalhes sobre o FamousSparrow podem ser encontrados no artigo da ESET sobre os criminosos.

Fonte: Bleeping Computer, ThreatPost, ESET