გასულ წელს, დიდი ბრიტანეთის კიბერუსაფრთხოების ეროვნულმა ცენტრმა (NCSC) აღმოაჩინა ჯაშუშური მავნე პროგრამის SparrowDoor-ის ვარიანტი გაერთიანებული სამეფოს გაურკვეველ ქსელში. დღეს გამოქვეყნდა ვარიანტის ანალიზი, რომელსაც სხვა საკითხებთან ერთად ახლა შეუძლია მონაცემების მოპარვა ბუფერიდან. გარდა ამისა, ხელმისაწვდომი გახდა კომპრომისის და Yara წესების ინდიკატორები, რომლებიც საშუალებას აძლევს ორგანიზაციებს აღმოაჩინონ მავნე პროგრამა საკუთარ ქსელში.
SparrowDoor-ის პირველი ვერსია აღმოაჩინა ანტივირუსულმა კომპანიამ ESET-მა და, როგორც ამბობენ, გამოიყენებოდა სასტუმროების წინააღმდეგ მთელს მსოფლიოში, ასევე მთავრობების წინააღმდეგ. თავდამსხმელებმა გამოიყენეს დაუცველობა Microsoft Exchange-ში, Microsoft SharePoint-სა და Oracle Opera-ში ორგანიზაციებში შესაჭრელად. დაზარალებული ორგანიზაციები იყო კანადაში, ისრაელში, საფრანგეთში, საუდის არაბეთში, ტაივანში, ტაილანდსა და გაერთიანებულ სამეფოში, მათ შორის. ESET-მა არ გაამჟღავნა თავდამსხმელთა ზუსტი სამიზნე.
ბრიტანეთის NCSC ამბობს, რომ მან შარშან იპოვა SparrowDoor-ის ვარიანტი ბრიტანულ ქსელში. ამ ვერსიას შეუძლია მოიპაროს მონაცემები ბუფერიდან და შეამოწმოს, არის თუ არა გარკვეული ანტივირუსული პროგრამა გაშვებული. ამ ვარიანტს ასევე შეუძლია მომხმარებლის ანგარიშის ნიშნის იმიტაცია ქსელური კავშირების დაყენებისას. სავარაუდოა, რომ ეს „დაქვეითება“ შეუმჩნეველი იყოს, რაც შეიძლება, მაგალითად, SYSTEM ანგარიშის ქვეშ ქსელურ კომუნიკაციებს რომ ასრულებდეს.
კიდევ ერთი ახალი ფუნქცია არის სხვადასხვა სახის გატაცება Windows API ფუნქციები. უცნობია, როდის იყენებს მავნე პროგრამა "API hooking" და "token impersonation", მაგრამ ბრიტანული NCSC-ის თანახმად, თავდამსხმელები იღებენ შეგნებულად ოპერატიული უსაფრთხოების გადაწყვეტილებებს. დამატებითი დეტალები თავდასხმული ქსელის შესახებ ან ვინ დგას მავნე პროგრამის უკან, არ არის მოცემული.