kⒶosTICa

Sparrow al abordaje... de tu ordenador

'FamousSparrow' habría atacado fundamentalmente a hoteles de todo el mundo (Pixabay)

El equipo de investigadores de la firma de seguridad ESET ha descubierto un nuevo grupo cibercriminales al que ha bautizado FamousSparrow -como el protagonista de la saga Piratas del Caribe-. Según se desprende de las primeras informaciones, este grupo habría tenido entre sus objetivos prioritarios a hoteles, aunque también podría haber apuntado a otras empresas privadas, incluso, a gobiernos de Europa, Oriente Medio, América, Asia y África. Sorprende que ninguna organización de EEUU se haya visto afectada.

FamousSparrow se encuadra dentro de lo que se denomina ataques APT (Advanced Persistent Threat) o de amenazas avanzadas persistentes, que buscan romper la seguridad de un sistema y permanecer en él oculto durante prolongados espacios de tiempo para espiar. No se trata de ataques rápidos como otros malware o códigos maliciosos, pues su vocación es, una vez infiltrado, penetrar aún más haciéndose con las contraseñas de administrador y ganar más privilegios de acceso para poder desplazarse horizontalmente y tener una suerte de barra libre de información.

Como habrán podido adivinar, no se trata de ataques sencillos por lo que la elección del objetivo está muy cuidada: si el botín no es sustancial no se justifica el esfuerzo aunque atacar, por ejemplo, a una pequeña empresa puede tener sentido para usarla como puerta de entrada a la cadena de suministro de una corporación mayor. Dicho de otro modo, pensar en que sólo las grandes empresas, la Administración Pública y los gobiernos están en la diana de los ataques APT sería un error.

En el caso concreto de FamousSparrow, el grupo cibercriminal explotó la vulnerabilidad ProxyLogon de Microsoft Exchange en marzo de 2021, según los expertos de ESET Research, aunque éstos están convencidos de que sus actividades delictivas se remontarían a al menos 2019. Esta vulnerabilidad, que ha sido aprovechada por más de diez grupos APT –LuckyMouse, Tick, Winnti Group y Calypso, entre otros- para tomar el control de los servidores de correo de Exchange en todo el mundo, afectaba a Microsoft Exchange Server 2013, 2016 y 2019 aunque durante el pasado mes de marzo, Microsoft ya publicó los parches para resolverla.

Distribución de los ataques de 'FamousSparrow' - ESET Research

El modus operandi de FamousSparrow revela que podría mantener relaciones con otros grupos, dado que en alguno de sus ataques estudiados desplegaron una variante del cargador Motnug, utilizado por el grupo SpraklingGoblin, y en otro se apoyaron en un dominio relacionado con DRBControl. Sin embargo, una de las herramientas utilizadas, la puerta trasera SparrowDoor, sí parece que ha sido utiliziada exclusivamente por FamousSparrow, hecho que ha propiciado que se crea que es un nuevo grupo o, al menos, recién descubierto aunque podrían llevar varios años operando discretamente. Otra hipótesis que se maneja es que en realidad se trata de un grupo ya conocido, pero que haya evolucionado tanto que los investigadores aún no hayan encontrado conexiones con sus actividades documentadas en el pasado.

Hasta el momento la lista prioritaria entre la veintena de víctimas son hoteles –utilizando también para ello una brecha de seguridad en el software para la gestión hotelera Oracle Opera-. Se trata de un objetivo atractivo porque una vez dentro del sistema resultaría sencillo espiar el tráfico de red de todos los huéspedes conectados a la WiFi del hotel.  

Paralelamente, ESET también ha identificado entre los afectados a gobiernos, organizaciones internacionales, empresas de ingeniería o bufetes de abogados de países como Brasil, Burkina Faso, Sudáfrica, Canadá, Israel, Francia, Guatemala, Lituania, Arabia Saudí, Taiwán, Tailandia y Reino Unido.