Britaniya hökuməti SparrowDoor casus zərərli proqram təminatının yeni variantını aşkar edib

Keçən il Böyük Britaniyanın Milli Kibertəhlükəsizlik Mərkəzi (NCSC) İngiltərənin açıqlanmayan şəbəkəsində SparrowDoor casus zərərli proqram təminatının bir variantını tapdı. Variantın təhlili bu gün dərc edildi, o, indi başqa şeylərlə yanaşı, buferdən məlumatları oğurlaya bilər. Bundan əlavə, təşkilatlara öz şəbəkələri daxilində zərərli proqramı aşkar etməyə imkan verən kompromis göstəriciləri və Yara qaydaları hazırlanıb.

SparrowDoor-un ilk versiyası ESET antivirus şirkəti tərəfindən kəşf edilib və deyilir ki, bütün dünyada otellərə qarşı, eləcə də hökumətlərə qarşı istifadə olunub. Təcavüzkarlar təşkilatlara müdaxilə etmək üçün Microsoft Exchange, Microsoft SharePoint və Oracle Opera-da boşluqlardan istifadə ediblər. Təsirə məruz qalan təşkilatlar Kanada, İsrail, Fransa, Səudiyyə Ərəbistanı, Tayvan, Tayland və Böyük Britaniyada olub. ESET hücumçuların dəqiq hədəfini açıqlamayıb.

Britaniya NCSC keçən il Britaniya şəbəkəsində SparrowDoor variantını tapdığını söylədi. Bu versiya mübadilə buferindən məlumatları oğurlaya və müəyyən antivirus proqramının işlək olub-olmadığını sərt kodlanmış siyahı ilə yoxlaya bilər. Bu variant həm də şəbəkə bağlantılarını qurarkən istifadəçi hesabı işarəsini təqlid edə bilər. Çox güman ki, bu “azaldılması” gözə dəyməmək üçün edilir, məsələn, SİSTEM hesabı altında şəbəkə rabitəsi həyata keçirsəydi, bunu edə bilər.

Başqa bir yeni xüsusiyyət müxtəlif oğurluq edir Windows API funksiyaları. Zərərli proqramın “API hooking” və “token impersonation”dan nə vaxt istifadə etdiyi bəlli deyil, lakin Britaniya NCSC-nin məlumatına görə, təcavüzkarlar şüurlu əməliyyat təhlükəsizliyi qərarları verirlər. Hücuma məruz qalan şəbəkə və ya zərərli proqramın arxasında kimin olduğu barədə ətraflı məlumat verilmir.