ShadowPad: jak atakujący ukrywają szkodliwy kod w oprogramowaniu użytkowanym przez setki dużych firm na całym świecie
ShadowPad to jeden z największych znanych ataków na łańcuchy dostaw. Gdyby zagrożenie nie zostało tak szybko wykryte, a szkodliwy kod nie zostałby usunięty z zaatakowanej aplikacji, mogłoby dojść do poważnych cyberincydentów w wielu firmach na świecie.
W lipcu 2017 r. z Globalnym Zespołem ds. Badań i Analiz Kaspersky Lab (GReAT) skontaktował się jeden z partnerów firmy - organizacja finansowa. Eksperci ds. bezpieczeństwa z tej firmy natknęli się na podejrzane żądania DNS pochodzące z systemu zaangażowanego w przetwarzanie transakcji finansowych. Dalsze dochodzenie ujawniło, że źródłem tych żądań było rozwiązanie zarządzające serwerami dostarczane przez legalną firmę, stosowane przez setki klientów z takich branż jak finanse, edukacja, produkcja, telekomunikacja, energia czy transport. Najbardziej niepokojące było to, że producent tego oprogramowania nie wyposażył go w funkcję, która mogłaby wysyłać takie żądania.
Dalsza analiza przeprowadzona przez ekspertów z Kaspersky Lab ujawniła, że podejrzane żądania były wynikiem aktywności szkodliwego modułu ukrytego w najnowszej wersji omawianego legalnego oprogramowania. Po instalacji zainfekowanej aktualizacji narzędzia szkodliwy moduł wysyłał co osiem godzin żądania DNS do określonych domen prowadzących do serwerów wykorzystywanych przez cyberprzestępców do kontrolowania ataku. Żądania zawierały podstawowe informacje o systemie ofiary, takie jak nazwa użytkownika, domeny i maszyny. Jeżeli atakujący uznali dany system za "interesujący", serwer odpowiadał i aktywował w pełni funkcjonalny szkodliwy kod, który ukradkowo instalował się w systemie. Następnie, po otrzymaniu odpowiedniego polecenia od atakujących, szkodliwy program mógł pobierać i uruchamiać dalsze narzędzia.
Po dokonaniu powyższych odkryć eksperci z Kaspersky Lab natychmiast skontaktowali się z firmą NetSarang, która zareagowała niezwłocznie i opublikowała uaktualnioną wersję swojego oprogramowania, już bez szkodliwego kodu.
Według wyników badania Kaspersky Lab sygnały świadczące o aktywacji omawianego szkodliwego programu zostały zarejestrowane jedynie w Hongkongu, jednak narzędzie to może pozostawać w uśpieniu na wielu systemach na całym świecie, jeżeli użytkownicy nie zainstalowali najnowszego uaktualnienia opublikowanego przez firmę NetSarang.
Podczas analizy technik i procedur wykorzystanych przez cyberprzestępców badacze z Kaspersky Lab doszli do wniosku, że pewne mechanizmy są podobne do tych stosowanych wcześniej przez chińskojęzyczne grupy cyberszpiegowskie PlugX oraz Winnti. Należy podkreślić, że podobieństwa te nie jest wystarczające, by określić dokładne powiązania między tymi grupami a omawianym atakiem.
ShadowPad to przykład bardzo niebezpiecznego, zakrojonego na szeroką skalę ataku na łańcuchy dostaw. Biorąc pod uwagę możliwości dotarcia do poufnych danych dużych firm, metoda ta najprawdopodobniej będzie wielokrotnie odtwarzana przez innych cyberprzestępców z użyciem różnego popularnego oprogramowania użytkowanego przez przedsiębiorstwa. Na szczęście firma NetSarang zareagowała błyskawicznie i opublikowała niezainfekowane uaktualnienie swojego oprogramowania, co najprawdopodobniej zapobiegnie setkom incydentów kradzieży danych korporacyjnych. Omawiany atak pokazuje, że duże firmy powinny rozważyć wdrożenie zaawansowanych rozwiązań bezpieczeństwa potrafiących monitorować aktywność sieciową i identyfikować wszelkie anomalie. Takie mechanizmy pozwalają na wychwycenie szkodliwych działań, nawet gdy atakujący dysponują zaawansowanymi technikami ukrywania swoich modułów w legalnym oprogramowaniu - powiedział Igor Sołmenkow, ekspert ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Wszystkie produkty Kaspersky Lab wykrywają i neutralizują szkodliwe oprogramowanie ShadowPad jako Backdoor.Win32.ShadowPad.a.
Kaspersky Lab zaleca wszystkim użytkownikom oprogramowania firmy NetSarang jak najszybsze zainstalowanie opublikowanego uaktualnienia, które usuwa szkodliwy kod z tego rozwiązania. Ponadto firmy powinny poszukać w swoich systemach oznak żądań DNS wysyłanych do nietypowych domen. Lista domen wykorzystywanych przez serwery cyberprzestępcze w ramach omawianego ataku jest dostępna wraz z dalszymi szczegółami technicznymi na stronie http://r.kaspersky.pl/tEAiJ.
Informacje o firmie NetSarang
NetSarang Computer Inc. rozwija, wprowadza na globalny rynek i obsługuje rozwiązanie bezpiecznej łączności. Firma rozwija swoje rodziny oprogramowania serwerowego i klienckiego oraz własne technologie sieciowe TCP/IP. Firma oferuje swoje produkty i usługi w ponad 90 krajach. Więcej informacji o firmie znajduje się na stronie https://www.netsarang.com.Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.