„eScan“ antivirusinė paslauga, teikianti naujinimus per HTTP, buvo užpulta ir užkrėsta įsilaužėlių

Įsilaužėliai išnaudojo antivirusinės paslaugos pažeidžiamumą, siekdami platinti kenkėjiškas programas nieko neįtariantiems vartotojams stulbinančius penkerius metus. Ataka buvo nukreipta prieš Indijoje įsikūrusią įmonę „eScan Antivirus“, kuri teikė naujinimus per HTTP – protokolą, žinomą dėl savo jautrumo kibernetinėms atakoms, kurios perduodant duomenis manipuliuoja arba pažeidžia duomenis. Saugumo tyrėjai iš Avast atskleidė, kad nusikaltėliai, galbūt susiję su Šiaurės Korėjos vyriausybe, įvykdė sudėtingą žmogaus viduryje (MitM) ataką. Ši taktika apėmė teisėtų naujinimų perėmimą iš „eScan“ serverių ir jų pakeitimą kenkėjiškais failais, galiausiai įdiegiant „backdoor“, žinomą kaip „GuptiMiner“.

Sudėtingas atakos pobūdis apėmė infekcijų grandinę. Iš pradžių „eScan“ programos bendravo su atnaujinimo sistema, suteikdamos galimybę grėsmės veikėjams perimti ir pakeisti naujinimo paketus. Tikslus perėmimo metodas lieka neaiškus, nors mokslininkai spėja, kad pažeisti tinklai galėjo palengvinti kenkėjišką srauto nukreipimą. Siekdama išvengti aptikimo, kenkėjiška programa panaudojo DLL užgrobimą ir naudojo tinkintus domenų vardų sistemos (DNS) serverius, kad prisijungtų prie užpuoliko valdomų kanalų. Vėlesnėse atakos iteracijose buvo naudojamas IP adreso maskavimas, kad būtų užtemdyta komandų ir valdymo (C&C) infrastruktūra .

Be to, kai kurie kenkėjiškų programų variantai paslėpė savo kenkėjišką kodą vaizdo failuose, todėl aptikimas tapo sudėtingesnis. Be to, užpuolikai įdiegė pasirinktinį šakninį TLS sertifikatą, kad atitiktų tam tikrų sistemų skaitmeninio pasirašymo reikalavimus, užtikrinant sėkmingą kenkėjiškos programos įdiegimą. Keista, bet kartu su užpakalinėmis durimis naudingoji apkrova apėmė XMRig , atvirojo kodo kriptovaliutų kasimo programinę įrangą, keliančią klausimų apie užpuolikų motyvus.

„GuptiMiner“ operacija atskleidė reikšmingų „eScan“ praktikos saugos trūkumų, įskaitant HTTPS trūkumą naujinimui pristatyti ir skaitmeninio pasirašymo, kad būtų galima patikrinti naujinimo vientisumą, nebuvimą. Nepaisant šių trūkumų, „eScan“ neatsakė į užklausas dėl jų atnaujinimo proceso dizaino.

„eScan Antivirus“ naudotojams patariama peržiūrėti „Avast“ įrašą, kad gautų informacijos apie galimas infekcijas, nors tikėtina, kad dauguma patikimų antivirusinių programų aptiktų šią grėsmę. Šis incidentas pabrėžia tvirtų saugumo priemonių svarbą apsisaugant nuo sudėtingų kibernetinių atakų.