Il gruppo filo-cinese FamousSparrow ha colpito la sicurezza di USA, Messico e Honduras, portando sotto ai riflettori il tema del cyberspionaggio.
I ricercatori di ESET hanno condotto un’indagine legata alle sicurezza a seguito di alcune attività sospette nella rete di una associazione di categoria statunitense operante nel settore finanziario. Durante le operazioni di supporto alla vittima per la gestione dell’incidente, i ricercatori hanno scoperto la presenza di strumenti malevoli riconducibili a FamousSparrow. Un gruppo APT allineato alla Cina.
Fino a quel momento, si pensava che il gruppo fosse inattivo, poiché non vi erano stati report pubblici dal 2022. L’indagine di ESET dimostra invece che non solo il gruppo era ancora attivo, ma che nel frattempo aveva anche aggiornato le proprie tecniche, come dimostrato dalle due versioni inedite della backdoor SparrowDoor rilevate all’interno della rete compromessa.
L’attacco alla sicurezza
L’attività del gruppo tra il 2022 e il 2024 ha incluso anche il targeting di un’istituzione governativa in Honduras. Inoltre, è emerso che, poco prima dell’attacco negli USA, il gruppo era riuscito a violare un istituto di ricerca in Messico. Entrambe le compromissioni risalgono alla fine di giugno 2024.
Le nuove versioni di SparrowDoor mostrano un notevole miglioramento rispetto alle precedenti, sia per qualità del codice che per architettura, e una di esse include la parallelizzazione dei comandi.
Per ottenere l’accesso iniziale alle reti delle vittime, il gruppo ha sfruttato una webshell installata su un server IIS. ESET non è riuscita a determinare l’exploit specifico utilizzato per il deployment delle webshell. Ma entrambi i sistemi compromessi eseguivano versioni obsolete di Windows Server e Microsoft Exchange. Vulnerabili a exploit pubblicamente disponibili.
Nel corso della campagna, sono stati impiegati strumenti personalizzati e malware già utilizzati da altri gruppi APT allineati alla Cina, oltre a tool di pubblico dominio. I payload finali erano le backdoor SparrowDoor e ShadowPad. Tra le funzionalità osservate figurano esecuzione di comandi, operazioni sul file system, keylogging e trasferimento di file. Ma anche gestione dei processi, monitoraggio delle modifiche ai file e acquisizione di screenshot. Tutti in grado di bypassare la sicurezza.
Nel settembre 2024, il Wall Street Journal ha pubblicato un articolo secondo cui alcuni provider di servizi internet statunitensi erano stati compromessi da un attore malevolo denominato Salt Typhoon. Secondo Microsoft, si tratterebbe dello stesso gruppo noto come FamousSparrow o GhostEmperor.
Cos’è FamousSparrow
FamousSparrow è un gruppo di cyberspionaggio attivo almeno dal 2019. ESET ha documentato pubblicamente le sue attività per la prima volta nel 2021, osservando l’utilizzo della vulnerabilità ProxyLogon. Inizialmente noto per attacchi contro strutture alberghiere in diversi Paesi, il gruppo ha successivamente preso di mira governi, organizzazioni internazionali, aziende di ingegneria e studi legali. FamousSparrow è l’unico gruppo conosciuto ad aver impiegato la backdoor SparrowDoor.
