Britannian hallitus löytää uuden version vakoiluhaittaohjelmasta SparrowDoor

Viime vuonna Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) löysi muunnelman vakoiluhaittaohjelmasta SparrowDoor julkistamattomasta Britannian verkosta. Variantista julkaistiin tänään analyysi, joka voi nyt varastaa dataa muun muassa leikepöydältä. Lisäksi saataville on tuotu kompromissiindikaattoreita ja Yara-sääntöjä, joiden avulla organisaatiot voivat havaita haittaohjelmat omassa verkossaan.

SparrowDoorin ensimmäisen version löysi virustorjuntayritys ESET, ja sen sanotaan käyttäneen hotelleja vastaan ​​maailmanlaajuisesti sekä hallituksia vastaan. Hyökkääjät käyttivät Microsoft Exchangen, Microsoft SharePointin ja Oracle Operan haavoittuvuuksia murtautuakseen organisaatioihin. Haavoittuneita organisaatioita olivat muun muassa Kanadassa, Israelissa, Ranskassa, Saudi-Arabiassa, Taiwanissa, Thaimaassa ja Isossa-Britanniassa. ESET ei paljastanut hyökkääjien tarkkaa kohdetta.

Brittiläinen NCSC kertoo löytäneensä muunnelman SparrowDoorista brittiläisestä verkosta viime vuonna. Tämä versio voi varastaa tietoja leikepöydältä ja tarkistaa kovakoodatusta luettelosta, onko tietty virustorjuntaohjelmisto käynnissä. Tämä versio voi myös jäljitellä käyttäjätunnusta verkkoyhteyksiä määritettäessä. On todennäköistä, että tämä "alennus" tehdään huomaamattomasti, mitä se voisi tehdä, jos se suorittaisi verkkoviestintää esimerkiksi SYSTEM-tilin alaisuudessa.

Toinen uusi ominaisuus on erilaisten kaappaukset Windows API-toiminnot. Ei ole selvää, milloin haittaohjelma käyttää "API-kiinnitystä" ja "token imitaatiota", mutta brittiläisen NCSC:n mukaan hyökkääjät tekevät tietoisia operatiivisia turvallisuuspäätöksiä. Tarkempia tietoja hyökkäyksen kohteena olevasta verkosta tai haittaohjelman takana olevista henkilöistä ei anneta.