EScan Antivirus Service, kas nodrošina atjauninājumus, izmantojot HTTP, tika uzbrukts un inficēts ar hakeriem

Hakeri izmantoja pretvīrusu pakalpojuma ievainojamību, lai izplatītu ļaunprātīgu programmatūru nenojaušajiem lietotājiem satriecošus piecus gadus. Uzbrukums bija vērsts pret eScan Antivirus, Indijā bāzētu uzņēmumu, kas piegādāja atjauninājumus, izmantojot HTTP — protokolu, kas pazīstams ar savu uzņēmību pret kiberuzbrukumiem, kas pārraides laikā manipulē vai apdraud datus. Drošības pētnieki no Avast atklāja, ka vainīgie, iespējams, ir saistīti ar Ziemeļkorejas valdību, izpildīja sarežģītu vīrieti-in-the-middle (MitM) uzbrukumu. Šī taktika ietvēra likumīgu atjauninājumu pārtveršanu no eScan serveriem un to aizstāšanu ar ļaunprātīgiem failiem, galu galā uzstādot aizmugures durvis, kas pazīstamas kā GuptiMiner.

Uzbrukuma sarežģītais raksturs ietvēra infekciju ķēdi. Sākotnēji eScan lietojumprogrammas sazinājās ar atjaunināšanas sistēmu, nodrošinot iespēju apdraudējuma dalībniekiem pārtvert un nomainīt atjauninājumu pakotnes. Precīza pārtveršanas metode joprojām nav skaidra, lai gan pētnieki spekulē, ka apdraudēti tīkli varētu būt veicinājuši trafika ļaunprātīgu novirzīšanu. Lai izvairītos no atklāšanas, ļaunprogrammatūra izmantoja DLL nolaupīšanu un izmantoja pielāgotus domēna nosaukumu sistēmas (DNS) serverus, lai izveidotu savienojumu ar uzbrucēju kontrolētiem kanāliem. Vēlāk uzbrukuma iterācijās tika izmantota IP adreses maskēšana, lai aptumšotu komandu un kontroles (C&C) infrastruktūru .

Turklāt daži ļaunprogrammatūras varianti slēpa savu ļaunprātīgo kodu attēlu failos, padarot noteikšanu grūtāku. Turklāt uzbrucēji uzstādīja pielāgotu saknes TLS sertifikātu, lai atbilstu noteiktu sistēmu ciparparaksta prasībām, nodrošinot veiksmīgu ļaunprogrammatūras instalēšanu. Pārsteidzoši, ka līdzās aizmugures durvīm lietderīgā slodze ietvēra XMRig , atvērtā pirmkoda kriptovalūtas ieguves programmatūru, radot jautājumus par uzbrucēju motīviem.

GuptiMiner darbība atklāja būtiskus drošības trūkumus eScan praksē, tostarp HTTPS trūkumu atjauninājumu piegādei un digitālā paraksta neesamību, lai pārbaudītu atjauninājumu integritāti. Neskatoties uz šiem trūkumiem, eScan neatbildēja uz jautājumiem par to atjaunināšanas procesa dizainu.

eScan Antivirus lietotājiem ir ieteicams pārskatīt Avast ierakstu, lai iegūtu informāciju par iespējamām infekcijām, lai gan, visticamāk, lielākā daļa cienījamu pretvīrusu programmu atklātu šos draudus. Šis incidents uzsver stingru drošības pasākumu nozīmi aizsardzībā pret sarežģītiem kiberuzbrukumiem.