Több száz logisztikai cég menekült meg ezzel a módszerrel

A Kaspersky Lab szakértői egy szerverkezelő szoftverbe ágyazott hátsókaput fedeztek fel, amelyet több száz nagyvállalat használ világszerte. Aktiválás után a hátsókapu lehetővé teszi a támadók számára, hogy további rosszindulatú modulokat töltsenek le vagy, hogy adatokat lopjanak. A Kaspersky Lab értesítette a fertőzött szoftver viszonteladóját, a NetSarang céget, akik azonnal eltávolították a rosszindulatú kódot és egy új frissítést adtak ki ügyfeleik számára.

A ShadowPad az egyik legnagyobb ismert ellátásilánc támadás. Ha nem vették volna észre és nem javították volna ki ilyen gyorsan, több száz szervezetet fertőzött volna meg világszerte.

2017 júliusában a Kaspersky Lab Global Research and Analysis Team (GReAT) részlegét felkereste egyik partnere, egy pénzügyi intézet. A szervezet biztonsági szakértői gyanús DNS-eket (domain name server) találtak a pénzügyi utalásokért felelős rendszerükben. Ezeket egy szerverkezelő szoftverhez vezették vissza, amelyet több száz ügyfél használ pénzügyi szolgáltatásokhoz, az oktatásban, a telekommunikációban, a gyári- és energiaiparban, valamint a szállítmányozásban. A legaggasztóbb az volt, hogy a szoftver forgalmazója nem tudott erről.

A Kaspersky Lab elemzése kimutatta, hogy a gyanús DNS-ek valójában egy rosszindulatú modulnak írhatók fel, amelyet a szoftver legújabb verziójába rejtettek. Egy fertőzött frissítés telepítését követően a rosszindulatú modul kapcsolatba lép a vezérszerverével és nyolcóránként küld DNS lekérdezéseket. A lekérések az áldozatul esett rendszer alap információit tartalmazza. Ha a támadók “érdekesnek” találták a rendszert, a vezérszerver válaszol és egy hátsókapun keresztül aktivál egy platformot, amely titokban telepíti magát a megtámadott számítógépre. Azután a támadók parancsára a platform képes további rosszindulatú kódok letöltésére és indítására.

A felfedezést követően a Kaspersky Lab kutatói azonnal kapcsolatba léptek a NetSarang céggel, amely gyorsan reagált, eltávolította a rosszindulatú kódot a szoftverből és kiadott egy frissített verziót.

A Kaspersky Lab kutatása szerint eddig a rosszindulatú modult, csak Hong Kong-ban aktiválták, de jelen lehet sok más rendszerben is világszerte, különösen ha a felhasználók még nem telepítették a frissített verziót.

A támadók által használt eszközök és technikák elemzése közben a Kaspersky Lab kutatói arra a következtetésre jutottak, hogy a modul hasonlóságokat mutat a PlugX vírus variánsaival, amelyeket egy ismert kínai nyelvű kiberkém csoport, a Winnti APT használ. Habár ez az információ önmagában nem elég ahhoz, hogy a támadást ezekhez az elkövetőkhöz kössék.

“A ShadowPad jó példa arra, hogy milyen veszélyes lehet egy sikeres ellátásilánc támadás. Mivel kiváló adatgyűjtési lehetőséget ad a támadóknak, több, mint valószínű, hogy újabb hasonló támadások is lesznek más széles körben használt szoftverek megfertőzése által. Szerencsére a NetSarang gyorsan reagált és egy tiszta szoftverfrissítést adott ki, így valószínűleg több száz támadást előzött meg. Ez az eset azt mutatja, hogy a nagyvállalatok olyan biztonsági megoldásokra kell, hogy támaszkodjanak, amelyek folyamatosan felügyelik a hálózati tevékenységeket és felismerik a rendellenességeket. Itt lehet tetten érni a fertőzéseket még akkor is, ha a támadók szofisztikált módszerekkel a vírust egy szoftverbe rejtik”

– mondta Igor Soumenkov, a Kaspersky Lab GReAT csapatának biztonsági szakértője.