Hackerek támadták meg és fertőzték meg a HTTP-n keresztül frissítéseket biztosító eScan Antivirus szolgáltatást

A hackerek egy víruskereső szolgáltatás sebezhetőségét kihasználva elképesztő öt éven keresztül rosszindulatú programokat terjesztettek a gyanútlan felhasználóknak. A támadás célpontja az eScan Antivirus, egy indiai székhelyű cég, amely HTTP-n keresztül szállított frissítéseket, amely protokoll arról ismert, hogy érzékeny a kibertámadásokra, amelyek manipulálják vagy veszélyeztetik az adatokat az átvitel során. Az Avast biztonsági kutatói felfedték, hogy a feltehetően az észak-koreai kormánnyal kapcsolatba hozható elkövetők egy kifinomult emberközép-támadást (MitM) hajtottak végre. Ez a taktika az eScan szervereiről érkező legitim frissítések elfogását és rosszindulatú fájlokkal való helyettesítését jelentette, végül a GuptiMiner néven ismert hátsó ajtó telepítését.

A támadás összetett természete fertőzések láncolatát jelentette. Kezdetben az eScan alkalmazások kommunikáltak a frissítési rendszerrel, lehetőséget adva a fenyegetés szereplőinek a frissítési csomagok elfogására és cseréjére. A lehallgatás pontos módszere továbbra is tisztázatlan, bár a kutatók azt feltételezik, hogy a feltört hálózatok elősegíthették a forgalom rosszindulatú átirányítását. Az észlelés elkerülése érdekében a rosszindulatú program DLL-eltérítést alkalmazott, és egyéni tartománynévrendszer (DNS) szervereket használt a támadók által irányított csatornákhoz való csatlakozáshoz. A támadás későbbi iterációi IP-címmaszkolást alkalmaztak a parancs- és vezérlési (C&C) infrastruktúra elhomályosítására .

Ezenkívül a rosszindulatú program egyes változatai elrejtették rosszindulatú kódjukat a képfájlokban, így az észlelés nagyobb kihívást jelent. Ezenkívül a támadók egyéni gyökér TLS-tanúsítványt telepítettek, hogy megfeleljenek bizonyos rendszerek digitális aláírási követelményeinek, biztosítva a kártevő sikeres telepítését. Meglepő módon a hátsó ajtó mellett az XMRig , egy nyílt forráskódú kriptovaluta bányászati szoftver is helyet kapott, ami kérdéseket vetett fel a támadók indítékaival kapcsolatban.

A GuptiMiner művelet jelentős biztonsági hibákat tárt fel az eScan gyakorlatában, beleértve a HTTPS hiányát a frissítések kézbesítéséhez és a digitális aláírás hiányát a frissítés integritásának ellenőrzéséhez. E hiányosságok ellenére az eScan nem válaszolt a frissítési folyamat tervezésével kapcsolatos megkeresésekre.

Az eScan Antivirus felhasználóinak azt tanácsoljuk, hogy tekintsék át az Avast bejegyzését, hogy tájékozódjanak a lehetséges fertőzésekről, bár valószínű, hogy a legtöbb jó hírű víruskereső program észleli ezt a fenyegetést. Ez az incidens rávilágít a szilárd biztonsági intézkedések fontosságára a kifinomult kibertámadások elleni védelemben.