Antivirová služba eScan poskytující aktualizace přes HTTP byla napadena a infikována hackery

Hackeři zneužili zranitelnost v antivirové službě k distribuci malwaru nic netušícím uživatelům po ohromujících pět let. Útok byl zaměřen na eScan Antivirus, společnost se sídlem v Indii, která doručovala aktualizace přes HTTP, protokol známý svou náchylností ke kybernetickým útokům, které manipulují nebo kompromitují data během přenosu. Bezpečnostní výzkumníci z Avastu odhalili, že pachatelé, možná spojení se severokorejskou vládou, provedli sofistikovaný útok typu man-in-the-middle (MitM). Tato taktika zahrnovala zachycení legitimních aktualizací ze serverů eScan a jejich nahrazení škodlivými soubory, což nakonec znamenalo instalaci zadních vrátek známých jako GuptiMiner.

Složitá povaha útoku zahrnovala řetězec infekcí. Zpočátku aplikace eScan komunikovaly s aktualizačním systémem a poskytovaly aktérům hrozeb příležitost zachytit a nahradit aktualizační balíčky. Přesný způsob odposlechu zůstává nejasný, ačkoli výzkumníci spekulují, že kompromitované sítě mohly usnadnit škodlivé přesměrování provozu. Aby se vyhnul detekci, použil malware únos knihoven DLL a využil vlastní servery systému názvů domén (DNS) pro připojení ke kanálům kontrolovaným útočníkem. Pozdější iterace útoku využívaly maskování IP adres, aby zatemnily infrastrukturu příkazů a řízení (C&C) .

Některé varianty malwaru navíc skrývaly svůj škodlivý kód v obrazových souborech, což ztěžovalo detekci. Útočníci navíc nainstalovali vlastní kořenový certifikát TLS, aby splnil požadavky na digitální podepisování určitých systémů a zajistil tak úspěšnou instalaci malwaru. Překvapivě, vedle zadních vrátek, užitečné zatížení zahrnovalo XMRig , open-source software pro těžbu kryptoměn, vyvolávající otázky ohledně motivů útočníků.

Operace GuptiMiner odhalila významné bezpečnostní chyby v postupech eScan, včetně chybějícího HTTPS pro doručování aktualizací a absence digitálního podepisování pro ověření integrity aktualizace. Navzdory těmto nedostatkům eScan nereagoval na dotazy týkající se jejich návrhu procesu aktualizace.

Uživatelům eScan Antivirus se doporučuje, aby si prostudovali příspěvek Avastu pro informace o potenciálních infekcích, ačkoli je pravděpodobné, že většina renomovaných antivirových programů by tuto hrozbu detekovala. Tento incident podtrhuje důležitost robustních bezpečnostních opatření při ochraně před sofistikovanými kybernetickými útoky.