HTTP पर अपडेट देने वाली eScan एंटीवायरस सेवा पर हैकरों ने हमला कर उसे संक्रमित कर दिया
हैकर्स ने एंटीवायरस सेवा में एक कमजोरी का फायदा उठाते हुए पांच साल तक बिना किसी संदेह के उपयोगकर्ताओं को मैलवेयर वितरित किया। इस हमले ने भारत में स्थित एक कंपनी ईस्कैन एंटीवायरस को निशाना बनाया, जो HTTP पर अपडेट दे रही थी, एक प्रोटोकॉल जो साइबर हमलों के प्रति अपनी संवेदनशीलता के लिए जाना जाता है जो ट्रांसमिशन के दौरान डेटा में हेरफेर या समझौता करता है। Avast के सुरक्षा शोधकर्ताओं ने खुलासा किया कि अपराधियों, जो संभवतः उत्तर कोरियाई सरकार से जुड़े थे, ने एक परिष्कृत मैन-इन-द-मिडल (MitM) हमला किया। इस रणनीति में ईस्कैन के सर्वर से वैध अपडेट को रोकना और उन्हें दुर्भावनापूर्ण फ़ाइलों से बदलना शामिल था, अंततः एक बैकडोर स्थापित करना जिसे GuptiMiner के रूप में जाना जाता है।
हमले की जटिल प्रकृति में संक्रमण की एक श्रृंखला शामिल थी। शुरुआत में, eScan अनुप्रयोगों ने अपडेट सिस्टम के साथ संचार किया, जिससे खतरे वाले अभिनेताओं को अपडेट पैकेजों को रोकने और बदलने का अवसर मिला। अवरोधन की सटीक विधि अभी भी अस्पष्ट है, हालांकि शोधकर्ताओं का अनुमान है कि समझौता किए गए नेटवर्क ने ट्रैफ़िक के दुर्भावनापूर्ण पुनर्निर्देशन की सुविधा प्रदान की हो सकती है। पता लगाने से बचने के लिए, मैलवेयर ने DLL अपहरण का इस्तेमाल किया और हमलावर-नियंत्रित चैनलों से जुड़ने के लिए कस्टम डोमेन नाम प्रणाली (DNS) सर्वर का इस्तेमाल किया। हमले के बाद के पुनरावृत्तियों ने कमांड-एंड-कंट्रोल (C&C) बुनियादी ढांचे को अस्पष्ट करने के लिए IP एड्रेस मास्किंग का इस्तेमाल किया।
इसके अतिरिक्त, मैलवेयर के कुछ वेरिएंट ने इमेज फ़ाइलों के भीतर अपने दुर्भावनापूर्ण कोड को छिपा दिया, जिससे पता लगाना अधिक चुनौतीपूर्ण हो गया। इसके अलावा, हमलावरों ने कुछ सिस्टम की डिजिटल हस्ताक्षर आवश्यकताओं को पूरा करने के लिए एक कस्टम रूट TLS प्रमाणपत्र स्थापित किया, जिससे मैलवेयर की सफल स्थापना सुनिश्चित हुई। आश्चर्यजनक रूप से, बैकडोर के साथ-साथ, पेलोड में XMRig , एक ओपन-सोर्स क्रिप्टोक्यूरेंसी माइनिंग सॉफ़्टवेयर शामिल था, जिससे हमलावरों के इरादों पर सवाल उठते हैं।
गुप्तीमाइनर ऑपरेशन ने ईस्कैन की कार्यप्रणाली में महत्वपूर्ण सुरक्षा खामियों को उजागर किया, जिसमें अपडेट डिलीवरी के लिए HTTPS की कमी और अपडेट की अखंडता को सत्यापित करने के लिए डिजिटल हस्ताक्षर की अनुपस्थिति शामिल है। इन कमियों के बावजूद, ईस्कैन ने अपने अपडेट प्रक्रिया डिज़ाइन के बारे में पूछताछ का जवाब नहीं दिया।
ईस्कैन एंटीवायरस के उपयोगकर्ताओं को संभावित संक्रमणों के बारे में जानकारी के लिए अवास्ट की पोस्ट की समीक्षा करने की सलाह दी जाती है, हालांकि यह संभावना है कि अधिकांश प्रतिष्ठित एंटीवायरस प्रोग्राम इस खतरे का पता लगा लेंगे। यह घटना परिष्कृत साइबर हमलों से बचाव में मजबूत सुरक्षा उपायों के महत्व को रेखांकित करती है।