Hakkerit hyökkäsivät ja tartunnan saaneet eScan Antivirus Service, joka toimittaa päivityksiä HTTP:n kautta

Hakkerit käyttivät hyväkseen virustorjuntapalvelun haavoittuvuutta levittääkseen haittaohjelmia pahaa-aavistamattomille käyttäjille hämmästyttävän viiden vuoden ajan. Hyökkäys kohdistui intialaiseen eScan Antivirus -yritykseen, joka oli toimittanut päivityksiä HTTP-protokollan kautta, joka tunnetaan herkkyydestään kyberhyökkäyksiä vastaan, jotka manipuloivat tai vaarantavat tietoja lähetyksen aikana. Avastin turvallisuustutkijat paljastivat, että syylliset, jotka mahdollisesti liittyvät Pohjois-Korean hallitukseen, teloittivat hienostuneen mies-in-the-middle (MitM) -hyökkäyksen. Tämä taktiikka sisälsi laillisten päivitysten sieppaamisen eScanin palvelimilta ja niiden korvaamisen haitallisilla tiedostoilla, minkä jälkeen asennettiin GuptiMiner-niminen takaovi.

Hyökkäyksen monimutkainen luonne sisälsi infektioiden ketjun. Aluksi eScan-sovellukset kommunikoivat päivitysjärjestelmän kanssa tarjoten uhkatoimijoille mahdollisuuden siepata ja korvata päivityspaketit. Tarkka sieppausmenetelmä on edelleen epäselvä, vaikka tutkijat spekuloivat, että vaarantuneet verkot ovat saattaneet helpottaa liikenteen haitallista uudelleenohjausta. Välttääkseen havaitsemisen haittaohjelma käytti DLL-kaappausta ja hyödynsi mukautettuja DNS-palvelimia yhteyden muodostamiseen hyökkääjien ohjaamiin kanaviin. Hyökkäyksen myöhemmissä iteraatioissa käytettiin IP-osoitteen peittämistä komento- ja ohjausinfrastruktuurin hämärtämiseksi .

Lisäksi jotkin haittaohjelmien versiot piilottivat haitallisen koodinsa kuvatiedostoihin, mikä teki havaitsemisesta haastavampaa. Lisäksi hyökkääjät asensivat mukautetun TLS-juurivarmenteen täyttääkseen tiettyjen järjestelmien digitaalisen allekirjoituksen vaatimukset, mikä varmistaa haittaohjelman onnistuneen asennuksen. Yllättäen takaoven ohella hyötykuormaan sisältyi XMRig , avoimen lähdekoodin kryptovaluutan louhintaohjelmisto, joka herätti kysymyksiä hyökkääjien motiiveista.

GuptiMiner-toiminto paljasti merkittäviä tietoturvapuutteita eScanin käytännöissä, mukaan lukien HTTPS:n puuttuminen päivityksen toimittamisessa ja digitaalisen allekirjoituksen puuttuminen päivityksen eheyden tarkistamiseksi. Näistä puutteista huolimatta eScan ei vastannut päivitysprosessin suunnittelua koskeviin tiedusteluihin.

eScan Antivirus -ohjelman käyttäjiä kehotetaan tarkistamaan Avastin viesti mahdollisista infektioista, vaikka on todennäköistä, että useimmat hyvämaineiset virustentorjuntaohjelmat havaitsevat tämän uhan. Tämä tapaus korostaa vahvojen turvatoimien merkitystä suojautuessa kehittyneiltä kyberhyökkäyksiä vastaan.