שירות אנטי וירוס eScan המספק עדכונים באמצעות HTTP הותקף והודבק על ידי האקרים

האקרים ניצלו פגיעות בשירות אנטי וירוס כדי להפיץ תוכנות זדוניות למשתמשים תמימים במשך חמש שנים מדהימות. המתקפה כוונה ל-eScan Antivirus, חברה שבסיסה בהודו, שסיפקה עדכונים ב-HTTP, פרוטוקול הידוע ברגישותו להתקפות סייבר המבצעות מניפולציות או פגיעה בנתונים במהלך השידור. חוקרי אבטחה מ- Avast חשפו כי המבצעים, הקשורים אולי לממשלת צפון קוריאה, הוציאו להורג פיגוע מתוחכם של אדם באמצע (MitM). טקטיקה זו כללה יירוט עדכונים לגיטימיים מהשרתים של eScan והחלפתם בקבצים זדוניים, ובסופו של דבר התקנת דלת אחורית הידועה בשם GuptiMiner.

אופיו המורכב של התקיפה כלל שרשרת של זיהומים. בתחילה, יישומי eScan תקשרו עם מערכת העדכונים, וסיפקו הזדמנות לגורמי איומים ליירט ולהחליף את חבילות העדכון. שיטת היירוט המדויקת נותרה לא ברורה, אם כי חוקרים משערים שייתכן שרשתות שנפגעו הקלה על הפנייה זדונית של תעבורה. כדי להתחמק מזיהוי, התוכנה הזדונית השתמשה בחטיפת DLL והשתמשה בשרתי שמות דומיין מותאמים אישית (DNS) לחיבור לערוצים הנשלטים על ידי תוקף. איטרציות מאוחרות יותר של המתקפה השתמשו במיסוך כתובות IP כדי לטשטש את תשתית הפיקוד והשליטה (C&C) .

בנוסף, גרסאות מסוימות של התוכנה הזדונית הסתירו את הקוד הזדוני שלהן בתוך קובצי תמונה, מה שהפך את הזיהוי למאתגר יותר. יתרה מכך, התוקפים התקינו אישור שורש TLS מותאם אישית כדי לעמוד בדרישות החתימה הדיגיטלית של מערכות מסוימות, מה שמבטיח התקנה מוצלחת של התוכנה הזדונית. באופן מפתיע, לצד הדלת האחורית, המטען כלל את XMRig , תוכנת כריית מטבעות קריפטוגרפיים בקוד פתוח, שהעלתה שאלות לגבי מניעיהם של התוקפים.

פעולת GuptiMiner חשפה פגמי אבטחה משמעותיים בפרקטיקות של eScan, כולל היעדר HTTPS להעברת עדכונים והיעדר חתימה דיגיטלית לאימות תקינות העדכון. למרות החסרונות הללו, eScan לא הגיבה לפניות בנוגע לתכנון תהליך העדכון שלהם.

מומלץ למשתמשי eScan Antivirus לעיין בפוסט של Avast לקבלת מידע על זיהומים פוטנציאליים, אם כי סביר להניח שרוב תוכניות האנטי-וירוס המכובדות יזהו את האיום הזה. אירוע זה מדגיש את החשיבות של אמצעי אבטחה חזקים בהגנה מפני התקפות סייבר מתוחכמות.