Բրիտանական կառավարությունը հայտնաբերել է SparrowDoor լրտեսական չարամիտ ծրագրի նոր տարբերակ

Անցյալ տարի Մեծ Բրիտանիայի կիբերանվտանգության ազգային կենտրոնը (NCSC) Մեծ Բրիտանիայի չբացահայտված ցանցում հայտնաբերել է SparrowDoor լրտեսական չարամիտ ծրագրի տարբերակը: Այսօր հրապարակվել է տարբերակի վերլուծություն, որն այժմ, ի թիվս այլ բաների, կարող է գողանալ տվյալներ clipboard-ից: Բացի այդ, հասանելի են դարձել փոխզիջման և Yara կանոնների ցուցիչները, որոնք թույլ են տալիս կազմակերպություններին հայտնաբերել չարամիտ ծրագիրը սեփական ցանցում:

SparrowDoor-ի առաջին տարբերակը հայտնաբերվել է հակավիրուսային ESET ընկերության կողմից և ասվում է, որ այն օգտագործվել է ամբողջ աշխարհում հյուրանոցների, ինչպես նաև կառավարությունների դեմ: Հարձակվողներն օգտագործել են Microsoft Exchange-ի, Microsoft SharePoint-ի և Oracle Opera-ի խոցելիությունը՝ կազմակերպություններ ներխուժելու համար: Տուժած կազմակերպությունները եղել են Կանադայում, Իսրայելում, Ֆրանսիայում, Սաուդյան Արաբիայում, Թայվանում, Թայլանդում և Միացյալ Թագավորությունում, ի թիվս այլոց: ESET-ը չի հայտնել հարձակվողների ստույգ թիրախը։

Բրիտանական NCSC-ն ասում է, որ անցյալ տարի հայտնաբերել է SparrowDoor-ի տարբերակը բրիտանական ցանցում: Այս տարբերակը կարող է գողանալ տվյալներ clipboard-ից և ստուգել, ​​թե արդյոք որոշակի հակավիրուսային ծրագիր է աշխատում: Այս տարբերակը կարող է նաև ընդօրինակել օգտվողի հաշվի նշանը ցանցային կապեր ստեղծելիս: Հավանական է, որ այս «նվազեցումը» արվել է աննկատ լինելու համար, ինչը կարող էր, օրինակ, SYSTEM հաշվի ներքո ցանցային հաղորդակցություն իրականացնելու դեպքում:

Մեկ այլ նոր առանձնահատկություն է առևանգումը տարբեր Windows API գործառույթներ. Պարզ չէ, թե երբ է չարամիտ օգտագործում «API hooking» և «token impersonation», սակայն, ըստ բրիտանական NCSC-ի, հարձակվողները գիտակցված գործառնական անվտանգության որոշումներ են կայացնում: Հարձակման ենթարկված ցանցի կամ չարամիտ ծրագրի հետևում կանգնածների մասին լրացուցիչ մանրամասներ չեն հաղորդվում: