HTTP kaudu värskendusi pakkuv eScan Antivirus Service ründas ja nakatas häkkerite poolt

Häkkerid kasutasid ära viirusetõrjeteenuse haavatavust, et levitada pahavara pahaaimamatutele kasutajatele vapustavalt viis aastat. Rünnak oli suunatud Indias asuvale ettevõttele eScan Antivirus, mis oli värskendusi tarninud HTTP-protokolli kaudu, mis on tuntud oma vastuvõtlikkuse poolest küberrünnakutele, mis edastuse ajal andmeid manipuleerivad või ohustavad. Avast'i julgeolekuteadlased paljastasid, et kurjategijad, kes võivad olla seotud Põhja-Korea valitsusega, sooritasid keeruka mees-in-the-middle (MitM) rünnaku. See taktika hõlmas eScani serveritest pärit seaduslike värskenduste pealtkuulamist ja nende asendamist pahatahtlike failidega, mille tulemusel paigaldati GuptiMinerina tuntud tagauks.

Rünnaku keerukus hõlmas infektsioonide ahelat. Algselt suhtlesid eScani rakendused värskendussüsteemiga, pakkudes ohus osalejatele võimaluse värskenduspakette kinni pidada ja välja vahetada. Täpne pealtkuulamismeetod jääb ebaselgeks, kuigi teadlased oletavad, et ohustatud võrgud võisid hõlbustada liikluse pahatahtlikku ümbersuunamist. Tuvastamisest kõrvalehoidmiseks kasutas pahavara DLL-i kaaperdamist ja ründaja juhitud kanalitega ühenduse loomiseks kohandatud domeeninimesüsteemi (DNS) servereid. Rünnaku hilisemad iteratsioonid kasutasid IP-aadresside maskeerimist, et hägustada käsu- ja juhtimisinfrastruktuuri (C&C) .

Lisaks peitsid mõned pahavara variandid oma pahatahtliku koodi pildifailidesse, muutes tuvastamise keerulisemaks. Lisaks paigaldasid ründajad kohandatud juur-TLS-sertifikaadi, mis vastab teatud süsteemide digitaalallkirjastamise nõuetele, tagades pahavara eduka installimise. Üllataval kombel sisaldas lisaks tagauksele ka avatud lähtekoodiga krüptoraha kaevandamise tarkvara XMRig , mis tõstatas küsimusi ründajate motiivide kohta.

GuptiMineri toiming paljastas olulisi turbevigu eScani praktikas, sealhulgas HTTPS-i puudumine värskenduste edastamiseks ja digitaalse allkirjastamise puudumine värskenduse terviklikkuse kontrollimiseks. Vaatamata nendele puudustele ei vastanud eScan päringutele nende värskendusprotsessi disaini kohta.

eScan Antivirus kasutajatel soovitatakse Avasti postitust võimalike nakkuste kohta teabe saamiseks üle vaadata, kuigi on tõenäoline, et enamik mainekaid viirusetõrjeprogramme avastavad selle ohu. See juhtum rõhutab tugevate turvameetmete tähtsust keerukate küberrünnakute eest kaitsmisel.