Investigadores de la compañía de ciberseguridad ESET han identificado a un nuevo y efectivo grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés). Los piratas informáticos, apodados como FamousSparrow, habrían sido los responsables de ejecutar ataques en todo el mundo. Su especialidad es el espionaje cibernético.
Se cree que FamousSparrow ha estado activo desde al menos 2019. Al igual que otros ATP, se cree que explotaron una cadena de vulnerabilidades conocida como ProxyLogon desde marzo de 2021. De esta forma, comprometieron la seguridad de los servidores de Microsoft Exchange de gobiernos, organizaciones internacionales, hospitales y otras instituciones.
Los investigadores llegaron a la conclusión que FamousSparrow es el único grupo que actualmente usa la backdoor personalizada, por lo que la amenaza no ha desaparecido. Además, se cree que utilizan variantes personalizadas de robo de credenciales Mimikatz una vez que el sistema se ve afectado.
FamousSparrow, gobiernos, hoteles y espionaje
Tras un exhaustivo análisis del comportamiento de FamousSparrow, los expertos de ESET sugieren la intención de los atacantes es el espionaje. Esto queda a la luz de sus objetivos, entre los que se encuentran gobiernos, empresas de ingeniería, oficiales legales, organizaciones internacionales e instituciones de la sanidad.
Pero, además, entre los principales afectados por FamousSparrow están los hoteles. Curiosamente, los piratas informáticos actuarían como herramienta de grupos de espionaje que buscan rastrear los movimientos y viajes de sus objetivos. Esto último sería posible al comprometer la seguridad de los lugares de alojamiento.
Microsoft Exchange Server es un servidor de correo utilizado por millones de clientes alrededor el mundo. Esta solución permite implementaciones híbridas que habilitan que los buzones estén en la nube o en los servidores locales de la empresa. Y, precisamente, los sistemas no parcheados son vulnerables.
A principios de año, Microsoft lanzó varias actualizaciones de seguridad que hacen frente a ProxyLogon en las versiones 2013, 2016 y 2019 de Exchange Server. Debido a su naturaleza crítica, y ante la amenaza de FamousSparrow, los de Redmond recomiendan aplicar inmediatamente las actualizaciones.
Desde ESET también llaman a que los administradores de sistemas actualicen Exchange Server. Pero este consejo no solo va para los miembros del equipo TI, sino para cualquier usuario que desee mantenerse protegido en el ciberespacio, pues los actores maliciosos no descansan.
El informe completo de ESET en relación a FamousSparrow detalla el funcionamiento de la backdoor y ofrece amplia información sobre su modus operandi. Este pude consultarse en el blog de la compañía.
FamousSparrow no es el único actor malicioso que se aprovecha de la vulnerabilidad ProxyLogon. Los expertos han vinculado ataques a al menos diez grupos. En principio, los piratas informáticos iniciaron sus tareas el día después de que Microsoft reveló la vulnerabilidad y lanzó los parches.