Антивирусната услуга eScan, доставяща актуализации през HTTP, беше атакувана и заразена от хакери

Хакерите се възползваха от уязвимост в антивирусна услуга, за да разпространяват злонамерен софтуер до нищо неподозиращи потребители в продължение на зашеметяващите пет години. Атаката беше насочена към eScan Antivirus, компания, базирана в Индия, която доставяше актуализации през HTTP, протокол, известен със своята податливост на кибератаки, които манипулират или компрометират данни по време на предаване. Изследователи по сигурността от Avast разкриха, че извършителите, вероятно свързани с правителството на Северна Корея, са извършили сложна атака човек по средата (MitM). Тази тактика включва прихващане на законни актуализации от сървърите на eScan и замяната им със злонамерени файлове, като в крайна сметка се инсталира задна врата, известна като GuptiMiner.

Сложният характер на атаката включваше верига от инфекции. Първоначално приложенията на eScan комуникираха със системата за актуализиране, предоставяйки възможност на заплахите да прихванат и заменят пакетите за актуализиране. Точният метод на прихващане остава неясен, въпреки че изследователите спекулират, че компрометираните мрежи може да са улеснили злонамереното пренасочване на трафика. За да избегне откриването, злонамереният софтуер използва отвличане на DLL и използва персонализирани сървъри на системата за име на домейн (DNS) за свързване с контролирани от нападателя канали. По-късните итерации на атаката използваха маскиране на IP адреси, за да объркат инфраструктурата за командване и контрол (C&C) .

Освен това някои варианти на злонамерения софтуер скриха своя злонамерен код във файлове с изображения, което направи откриването по-трудно. Освен това нападателите са инсталирали персонализиран основен TLS сертификат, за да отговорят на изискванията за цифрово подписване на определени системи, гарантирайки успешното инсталиране на зловреден софтуер. Изненадващо, наред със задната врата, полезният товар включва XMRig , софтуер за копаене на криптовалута с отворен код, което повдига въпроси относно мотивите на нападателите.

Операцията на GuptiMiner разкри значителни пропуски в сигурността в практиките на eScan, включително липсата на HTTPS за доставка на актуализация и липсата на цифрово подписване за проверка на целостта на актуализацията. Въпреки тези недостатъци, eScan не отговори на запитвания относно техния дизайн на процеса на актуализиране.

Потребителите на eScan Antivirus се съветват да прегледат публикацията на Avast за информация относно потенциални инфекции, въпреки че е вероятно повечето реномирани антивирусни програми да открият тази заплаха. Този инцидент подчертава значението на стабилните мерки за сигурност за защита срещу сложни кибератаки.