Η υπηρεσία προστασίας από ιούς eScan που παρέχει ενημερώσεις μέσω HTTP δέχτηκε επίθεση και μολύνθηκε από χάκερ

Οι χάκερ εκμεταλλεύτηκαν μια ευπάθεια σε μια υπηρεσία προστασίας από ιούς για να διανείμουν κακόβουλο λογισμικό σε ανυποψίαστους χρήστες για μια εκπληκτική πενταετία. Η επίθεση είχε στόχο την eScan Antivirus, μια εταιρεία με έδρα την Ινδία, η οποία παρείχε ενημερώσεις μέσω HTTP, ένα πρωτόκολλο γνωστό για την ευαισθησία του σε κυβερνοεπιθέσεις που χειραγωγούν ή διακυβεύουν δεδομένα κατά τη μετάδοση. Ερευνητές ασφαλείας από την Avast αποκάλυψαν ότι οι δράστες, πιθανώς συνδεδεμένοι με την κυβέρνηση της Βόρειας Κορέας, εκτέλεσαν μια περίπλοκη επίθεση άνδρα στη μέση (MitM). Αυτή η τακτική περιλάμβανε την υποκλοπή νόμιμων ενημερώσεων από τους διακομιστές του eScan και την αντικατάστασή τους με κακόβουλα αρχεία, εν τέλει την εγκατάσταση μιας κερκόπορτας γνωστής ως GuptiMiner.

Η πολύπλοκη φύση της επίθεσης περιλάμβανε μια αλυσίδα λοιμώξεων. Αρχικά, οι εφαρμογές eScan επικοινωνούσαν με το σύστημα ενημέρωσης, παρέχοντας την ευκαιρία στους παράγοντες απειλής να υποκλέψουν και να αντικαταστήσουν τα πακέτα ενημέρωσης. Η ακριβής μέθοδος υποκλοπής παραμένει ασαφής, αν και οι ερευνητές εικάζουν ότι τα παραβιασμένα δίκτυα μπορεί να έχουν διευκολύνει την κακόβουλη ανακατεύθυνση της κυκλοφορίας. Για να αποφύγει τον εντοπισμό, το κακόβουλο λογισμικό χρησιμοποίησε παραβίαση DLL και χρησιμοποίησε διακομιστές προσαρμοσμένου συστήματος ονομάτων τομέα (DNS) για σύνδεση σε κανάλια ελεγχόμενα από τους εισβολείς. Οι μεταγενέστερες επαναλήψεις της επίθεσης χρησιμοποίησαν κάλυψη διεύθυνσης IP για να θολώσουν την υποδομή εντολών και ελέγχου (C&C) .

Επιπλέον, ορισμένες παραλλαγές του κακόβουλου λογισμικού έκρυβαν τον κακόβουλο κώδικά τους μέσα σε αρχεία εικόνας, καθιστώντας τον εντοπισμό πιο δύσκολο. Επιπλέον, οι εισβολείς εγκατέστησαν ένα προσαρμοσμένο πιστοποιητικό ρίζας TLS για να ικανοποιήσουν τις απαιτήσεις ψηφιακής υπογραφής ορισμένων συστημάτων, διασφαλίζοντας την επιτυχή εγκατάσταση του κακόβουλου λογισμικού. Παραδόξως, παράλληλα με την κερκόπορτα, το ωφέλιμο φορτίο περιελάμβανε το XMRig , ένα λογισμικό εξόρυξης κρυπτονομισμάτων ανοιχτού κώδικα, που εγείρει ερωτήματα σχετικά με τα κίνητρα των εισβολέων.

Η λειτουργία GuptiMiner αποκάλυψε σημαντικά ελαττώματα ασφαλείας στις πρακτικές του eScan, συμπεριλαμβανομένης της έλλειψης HTTPS για την παράδοση ενημερώσεων και της απουσίας ψηφιακής υπογραφής για την επαλήθευση της ακεραιότητας της ενημέρωσης. Παρά αυτές τις ελλείψεις, το eScan δεν απάντησε σε ερωτήματα σχετικά με το σχεδιασμό της διαδικασίας ενημέρωσης.

Συνιστάται στους χρήστες του eScan Antivirus να ελέγξουν την ανάρτηση της Avast για πληροφορίες σχετικά με πιθανές μολύνσεις, αν και είναι πιθανό ότι τα περισσότερα αξιόπιστα προγράμματα προστασίας από ιούς θα εντόπιζαν αυτήν την απειλή. Αυτό το περιστατικό υπογραμμίζει τη σημασία των ισχυρών μέτρων ασφαλείας για την προστασία από εξελιγμένες κυβερνοεπιθέσεις.