We value your privacy

We use cookies to enhance your browsing experience, serve personalized ads or content, and analyze our traffic. By clicking "Accept All", you consent to our use of cookies.

Customize Consent Preferences

We use cookies to help you navigate efficiently and perform certain functions. You will find detailed information about all cookies under each consent category below.

The cookies that are categorized as "Necessary" are stored on your browser as they are essential for enabling the basic functionalities of the site. ... 

Always Active

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

No cookies to display.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

No cookies to display.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

No cookies to display.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

No cookies to display.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

No cookies to display.

ShadowPad

by · Published · Updated

Hogyan rejtenek a támadók hátsókapukat szoftverekbe?

– Logisztikai cégek százai menekültek meg –

A Kaspersky Lab szakértői egy szerverkezelő szoftverbe ágyazott hátsókaput fedeztek fel, amelyet több száz nagyvállalat használ világszerte. Aktiválás után a hátsókapu lehetővé teszi a támadók számára, hogy további rosszindulatú modulokat töltsenek le vagy, hogy adatokat lopjanak. A Kaspersky Lab értesítette a fertőzött szoftver viszonteladóját, a NetSarang céget, akik azonnal eltávolították a rosszindulatú kódot és egy új frissítést adtak ki ügyfeleik számára.

A ShadowPad az egyik legnagyobb ismert ellátásilánc támadás. Ha nem vették volna észre és nem javították volna ki ilyen gyorsan, több száz szervezetet fertőzött volna meg világszerte.

2017 júliusában a Kaspersky Lab Global Research and Analysis Team (GReAT) részlegét felkereste egyik partnere, egy pénzügyi intézet. A szervezet biztonsági szakértői gyanús DNS-eket (domain name server) találtak a pénzügyi utalásokért felelős rendszerükben. Ezeket egy szerverkezelő szoftverhez vezették vissza, amelyet több száz ügyfél használ pénzügyi szolgáltatásokhoz, az oktatásban, a telekommunikációban, a gyári- és energiaiparban, valamint a szállítmányozásban. A legaggasztóbb az volt, hogy a szoftver forgalmazója nem tudott erről.

A Kaspersky Lab elemzése kimutatta, hogy a gyanús DNS-ek valójában egy rosszindulatú modulnak írhatók fel, amelyet a szoftver legújabb verziójába rejtettek. Egy fertőzött frissítés telepítését követően a rosszindulatú modul kapcsolatba lép a vezérszerverével és nyolcóránként küld DNS lekérdezéseket. A lekérések az áldozatul esett rendszer alap információit tartalmazza. Ha a támadók „érdekesnek” találták a rendszert, a vezérszerver válaszol és egy hátsókapun keresztül aktivál egy platformot, amely titokban telepíti magát a megtámadott számítógépre. Azután a támadók parancsára a platform képes további rosszindulatú kódok letöltésére és indítására.

A felfedezést követően a Kaspersky Lab kutatói azonnal kapcsolatba léptek a NetSarang céggel, amely gyorsan reagált, eltávolította a rosszindulatú kódot a szoftverből és kiadott egy frissített verziót.

A Kaspersky Lab kutatása szerint eddig a rosszindulatú modult, csak Hong Kong-ban aktiválták, de jelen lehet sok más rendszerben is világszerte, különösen ha a felhasználók még nem telepítették a frissített verziót.

A támadók által használt eszközök és technikák elemzése közben a Kaspersky Lab kutatói arra a következtetésre jutottak, hogy a modul hasonlóságokat mutat a PlugX vírus variánsaival, amelyeket egy ismert kínai nyelvű kiberkém csoport, a Winnti APT használ. Habár ez az információ önmagában nem elég ahhoz, hogy a támadást ezekhez az elkövetőkhöz kössék.

„A ShadowPad jó példa arra, hogy milyen veszélyes lehet egy sikeres ellátásilánc támadás. Mivel kiváló adatgyűjtési lehetőséget ad a támadóknak, több, mint valószínű, hogy újabb hasonló támadások is lesznek más széles körben használt szoftverek megfertőzése által. Szerencsére a NetSarang gyorsan reagált és egy tiszta szoftverfrissítést adott ki, így valószínűleg több száz támadást előzött meg. Ez az eset azt mutatja, hogy a nagyvállalatok olyan biztonsági megoldásokra kell, hogy támaszkodjanak, amelyek folyamatosan felügyelik a hálózati tevékenységeket és felismerik a rendellenességeket. Itt lehet tetten érni a fertőzéseket még akkor is, ha a támadók szofisztikált módszerekkel a vírust egy szoftverbe rejtik” – mondta Igor Soumenkov, a Kaspersky Lab GReAT csapatának biztonsági szakértője.

A NetSarang nyilatkozata

„A kibertámadások elhárítása érdekében a NetSarang különböző lépéseket tett, hogy megakadályozza a kiberbűnözőket termékei megfertőzésében és rosszindulatú használatában. Sajnos a 2017. július 18-án kiadott összes termékünk egy hátsókaput tartalmazott. Ügyfeleink biztonsága a fő prioritásunk és a mi felelősségünk. Az a tény, hogy rosszindulatú csoportok kereskedelmi forgalomban lévő szoftvereket használnak haszonszerzés céljából aggodalomra ad okot és a NetSarang és más szoftvercégek nagyon komolyan veszik ezt a veszélyt. A NetSarang elkötelezetten védi felhasználóit és mindent meg fog tenni azért, hogy fertőzött termék soha ne jusson az ügyfél kezébe. A NetSarang folyamatosan javítani fogja biztonságosságát nem csak azért, hogy elhárítsa a rosszindulatú csoportok támadásait, hanem hogy visszanyerje hűséges felhasználói bizalmát.”

A Kaspersky Lab összes terméke felismeri és védelmet nyújt a ShadowPad vírussal (Backdoor.Win32.ShadowPad.a) szemben.

A Kaspersky Lab azt tanácsolja a felhasználóknak, hogy azonnal töltsék le a NetSarang szoftver legújabb verzióját, amelyből eltávolították a rosszindulatú kódot. A rosszindulatú modul által használt vezérszerverek listája megtalálható a Securelist blogposztjában, amelyben további technikai információkat olvashatnak a vírusról.

Tags: