ShadowPad: jak atakujący ukrywają szkodliwy kod w oprogramowaniu

Piotr Kupczyk 28-08-2017, 08:06

Eksperci z Kaspersky Lab wykryli szkodliwy program zaszyty w oprogramowaniu służącym do zarządzania serwerami użytkowanym przez setki dużych przedsiębiorstw na całym świecie. Po aktywacji szkodliwy program pozwala atakującym na pobieranie dalszych niebezpiecznych modułów i kradzież danych.

ShadowPad to jeden z największych znanych ataków na łańcuchy dostaw. Gdyby zagrożenie nie zostało tak szybko wykryte, a szkodliwy kod nie zostałby usunięty z zaatakowanej aplikacji, mogłoby dojść do poważnych cyberincydentów w wielu firmach na świecie.

W lipcu 2017 r. z Globalnym Zespołem ds. Badań i Analiz Kaspersky Lab (GReAT) skontaktował się jeden z partnerów firmy — organizacja finansowa. Eksperci ds. bezpieczeństwa z tej firmy natknęli się na podejrzane żądania DNS pochodzące z systemu zaangażowanego w przetwarzanie transakcji finansowych. Dalsze dochodzenie ujawniło, że źródłem tych żądań było rozwiązanie zarządzające serwerami dostarczane przez legalną firmę, stosowane przez setki klientów z takich branż jak finanse, edukacja, produkcja, telekomunikacja, energia czy transport. Najbardziej niepokojące było to, że producent tego oprogramowania nie wyposażył go w funkcję, która mogłaby wysyłać takie żądania.

Dalsza analiza przeprowadzona przez ekspertów z Kaspersky Lab ujawniła, że podejrzane żądania były wynikiem aktywności szkodliwego modułu ukrytego w najnowszej wersji omawianego legalnego oprogramowania. Po instalacji zainfekowanej aktualizacji narzędzia szkodliwy moduł wysyłał co osiem godzin żądania DNS do określonych domen prowadzących do serwerów wykorzystywanych przez cyberprzestępców do kontrolowania ataku. Żądania zawierały podstawowe informacje o systemie ofiary, takie jak nazwa użytkownika, domeny i maszyny. Jeżeli atakujący uznali dany system za „interesujący”, serwer odpowiadał i aktywował w pełni funkcjonalny szkodliwy kod, który ukradkowo instalował się w systemie. Następnie, po otrzymaniu odpowiedniego polecenia od atakujących, szkodliwy program mógł pobierać i uruchamiać dalsze narzędzia.

Po dokonaniu powyższych odkryć eksperci z Kaspersky Lab natychmiast skontaktowali się z firmą NetSarang, która zareagowała niezwłocznie i opublikowała uaktualnioną wersję swojego oprogramowania, już bez szkodliwego kodu.

Według wyników badania Kaspersky Lab sygnały świadczące o aktywacji omawianego szkodliwego programu zostały zarejestrowane jedynie w Hongkongu, jednak narzędzie to może pozostawać w uśpieniu na wielu systemach na całym świecie, jeżeli użytkownicy nie zainstalowali najnowszego uaktualnienia opublikowanego przez firmę NetSarang. Podczas analizy technik wykorzystanych przez cyberprzestępców badacze z Kaspersky Lab doszli do wniosku, że pewne mechanizmy są bardzo podobne do tych stosowanych wcześniej przez chińskojęzyczne grupy cyberszpiegowskie PlugX oraz Winnti. Należy podkreślić, że podobieństwa te nie jest wystarczające, by określić dokładne powiązania między tymi grupami a omawianym atakiem.

ShadowPad to przykład bardzo niebezpiecznego, zakrojonego na szeroką skalę ataku na łańcuchy dostaw. Biorąc pod uwagę możliwości dotarcia do poufnych danych dużych firm, metoda ta najprawdopodobniej będzie wielokrotnie odtwarzana przez innych cyberprzestępców z użyciem różnego popularnego oprogramowania użytkowanego przez przedsiębiorstwa. Na szczęście firma NetSarang zareagowała błyskawicznie i opublikowała niezainfekowane uaktualnienie swojego oprogramowania, co najprawdopodobniej zapobiegnie setkom incydentów kradzieży danych korporacyjnych. Omawiany atak pokazuje, że duże firmy powinny rozważyć wdrożenie zaawansowanych rozwiązań bezpieczeństwa potrafiących monitorować aktywność sieciową i identyfikować wszelkie anomalie. Takie mechanizmy pozwalają na wychwycenie szkodliwych działań, nawet gdy atakujący dysponują zaawansowanymi technikami ukrywania swoich modułów w legalnym oprogramowaniu — powiedział Igor Sołmenkow, ekspert ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.


Źródło: Kaspersky Lab
Komentarze
comments powered by Disqus
To warto przeczytać


fot. Shazam



fot. Pixabay



fot. Pixabay



fot. Pixabay



fot. Deloitte


  
znajdź w serwisie

RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2017»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.