Antivirusnu uslugu eScan koja isporučuje ažuriranja putem HTTP-a napali su i zarazili hakeri

Hakeri su iskoristili ranjivost u antivirusnoj usluzi za distribuciju zlonamjernog softvera korisnicima koji ništa nisu sumnjali nevjerojatnih pet godina. Napad je bio usmjeren na eScan Antivirus, tvrtku sa sjedištem u Indiji, koja je isporučivala ažuriranja preko HTTP-a, protokola poznatog po svojoj osjetljivosti na kibernetičke napade koji manipuliraju ili ugrožavaju podatke tijekom prijenosa. Sigurnosni istraživači iz Avasta otkrili su da su počinitelji, vjerojatno povezani sa sjevernokorejskom vladom, izveli sofisticirani napad čovjeka u sredini (MitM). Ova je taktika uključivala presretanje legitimnih ažuriranja s poslužitelja eScan-a i njihovu zamjenu zlonamjernim datotekama, u konačnici instaliranje backdoor-a poznatog kao GuptiMiner.

Složena priroda napada uključivala je lanac infekcija. U početku su aplikacije eScan komunicirale sa sustavom ažuriranja, pružajući priliku akterima prijetnji da presretnu i zamijene pakete ažuriranja. Točna metoda presretanja ostaje nejasna, iako istraživači nagađaju da su kompromitirane mreže mogle omogućiti zlonamjerno preusmjeravanje prometa. Kako bi izbjegao otkrivanje, zlonamjerni je softver koristio otmicu DLL-a i koristio prilagođene poslužitelje sustava naziva domena (DNS) za povezivanje s kanalima koje kontroliraju napadači. Kasnije iteracije napada koristile su maskiranje IP adrese kako bi se zamaglila infrastruktura upravljanja i kontrole (C&C) .

Osim toga, neke varijante zlonamjernog softvera sakrile su zlonamjerni kod unutar slikovnih datoteka, što je otkrivanje činilo izazovnijim. Štoviše, napadači su instalirali prilagođeni root TLS certifikat kako bi ispunili zahtjeve za digitalno potpisivanje određenih sustava, osiguravajući uspješnu instalaciju zlonamjernog softvera. Iznenađujuće, uz backdoor, teret je uključivao XMRig , softver za rudarenje kriptovalute otvorenog koda, postavljajući pitanja o motivima napadača.

Operacija GuptiMiner otkrila je značajne sigurnosne nedostatke u praksi eScan-a, uključujući nedostatak HTTPS-a za isporuku ažuriranja i nepostojanje digitalnog potpisivanja za provjeru integriteta ažuriranja. Unatoč tim nedostacima, eScan nije odgovorio na upite u vezi s dizajnom procesa ažuriranja.

Korisnicima eScan Antivirusa savjetuje se da pregledaju Avastovu objavu za informacije o mogućim infekcijama, iako je vjerojatno da bi većina renomiranih antivirusnih programa otkrila ovu prijetnju. Ovaj incident naglašava važnost snažnih sigurnosnih mjera u zaštiti od sofisticiranih kibernetičkih napada.