تعرضت خدمة eScan Antivirus التي تقدم التحديثات عبر HTTP للهجوم والإصابة من قبل المتسللين

استغل المتسللون ثغرة أمنية في إحدى خدمات مكافحة الفيروسات لتوزيع البرامج الضارة على المستخدمين المطمئنين لمدة خمس سنوات مذهلة. استهدف الهجوم شركة eScan Antivirus، وهي شركة مقرها الهند، كانت تقدم التحديثات عبر HTTP، وهو بروتوكول معروف بقابليته للهجمات الإلكترونية التي تتلاعب بالبيانات أو تعرضها للخطر أثناء النقل. كشف باحثون أمنيون من شركة Avast أن الجناة، الذين من المحتمل أن يكونوا مرتبطين بحكومة كوريا الشمالية، نفذوا هجومًا متطورًا من نوع رجل في الوسط (MitM). تضمن هذا التكتيك اعتراض التحديثات المشروعة من خوادم eScan واستبدالها بملفات ضارة، مما أدى في النهاية إلى تثبيت باب خلفي يُعرف باسم GuptiMiner.

تضمنت الطبيعة المعقدة للهجوم سلسلة من العدوى. في البداية، تواصلت تطبيقات eScan مع نظام التحديث، مما أتاح الفرصة للجهات الفاعلة في مجال التهديد لاعتراض حزم التحديث واستبدالها. لا تزال الطريقة الدقيقة للاعتراض غير واضحة، على الرغم من أن الباحثين يتوقعون أن الشبكات المخترقة ربما سهّلت إعادة التوجيه الضار لحركة المرور. لتجنب الكشف، استخدمت البرامج الضارة اختطاف DLL واستخدمت خوادم نظام اسم المجال المخصص (DNS) للاتصال بالقنوات التي يتحكم فيها المهاجم. استخدمت التكرارات اللاحقة للهجوم إخفاء عنوان IP للتعتيم على البنية التحتية للقيادة والتحكم (C&C) .

بالإضافة إلى ذلك، قامت بعض أنواع البرامج الضارة بإخفاء التعليمات البرمجية الضارة الخاصة بها داخل ملفات الصور، مما يجعل اكتشافها أكثر صعوبة. علاوة على ذلك، قام المهاجمون بتثبيت شهادة TLS جذر مخصصة لتلبية متطلبات التوقيع الرقمي لأنظمة معينة، مما يضمن التثبيت الناجح للبرامج الضارة. ومن المثير للدهشة، أنه إلى جانب الباب الخلفي، تضمنت الحمولة XMRig ، وهو برنامج مفتوح المصدر لتعدين العملات المشفرة، مما أثار تساؤلات حول دوافع المهاجمين.

كشفت عملية GuptiMiner عن عيوب أمنية كبيرة في ممارسات eScan، بما في ذلك عدم وجود HTTPS لتسليم التحديث وغياب التوقيع الرقمي للتحقق من سلامة التحديث. وعلى الرغم من أوجه القصور هذه، لم تستجب eScan للاستفسارات المتعلقة بتصميم عملية التحديث.

يُنصح مستخدمو eScan Antivirus بمراجعة منشور Avast للحصول على معلومات حول الإصابات المحتملة، على الرغم من أنه من المحتمل أن تكتشف معظم برامج مكافحة الفيروسات ذات السمعة الطيبة هذا التهديد. يؤكد هذا الحادث على أهمية اتخاذ تدابير أمنية قوية للحماية من الهجمات الإلكترونية المتطورة.