HTTP ਉੱਤੇ ਅੱਪਡੇਟ ਪ੍ਰਦਾਨ ਕਰਨ ਵਾਲੀ eScan ਐਂਟੀਵਾਇਰਸ ਸੇਵਾ ਹੈਕਰਾਂ ਦੁਆਰਾ ਹਮਲਾ ਅਤੇ ਸੰਕਰਮਿਤ ਕੀਤਾ ਗਿਆ ਸੀ
ਹੈਕਰਾਂ ਨੇ ਇੱਕ ਐਨਟਿਵ਼ਾਇਰਅਸ ਸੇਵਾ ਵਿੱਚ ਇੱਕ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ ਪੰਜ ਸਾਲਾਂ ਲਈ ਬੇਲੋੜੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਵੰਡਿਆ। ਹਮਲੇ ਨੇ ਈਸਕੈਨ ਐਂਟੀਵਾਇਰਸ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, ਭਾਰਤ ਵਿੱਚ ਸਥਿਤ ਇੱਕ ਕੰਪਨੀ, ਜੋ ਕਿ HTTP ਉੱਤੇ ਅੱਪਡੇਟ ਪ੍ਰਦਾਨ ਕਰ ਰਹੀ ਸੀ, ਇੱਕ ਪ੍ਰੋਟੋਕੋਲ ਜੋ ਸਾਈਬਰ ਹਮਲਿਆਂ ਲਈ ਆਪਣੀ ਸੰਵੇਦਨਸ਼ੀਲਤਾ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ ਜੋ ਟ੍ਰਾਂਸਮਿਸ਼ਨ ਦੌਰਾਨ ਡੇਟਾ ਨੂੰ ਹੇਰਾਫੇਰੀ ਜਾਂ ਸਮਝੌਤਾ ਕਰਦੇ ਹਨ। ਅਵਾਸਟ ਦੇ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ ਅਪਰਾਧੀਆਂ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਉੱਤਰੀ ਕੋਰੀਆ ਦੀ ਸਰਕਾਰ ਨਾਲ ਜੁੜੇ ਹੋਏ ਸਨ, ਨੇ ਇੱਕ ਆਧੁਨਿਕ ਮੈਨ-ਇਨ-ਦਿ-ਮਿਡਲ (MitM) ਹਮਲੇ ਨੂੰ ਅੰਜਾਮ ਦਿੱਤਾ ਸੀ। ਇਸ ਰਣਨੀਤੀ ਵਿੱਚ eScan ਦੇ ਸਰਵਰਾਂ ਤੋਂ ਜਾਇਜ਼ ਅੱਪਡੇਟਾਂ ਨੂੰ ਰੋਕਣਾ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਖਤਰਨਾਕ ਫਾਈਲਾਂ ਨਾਲ ਬਦਲਣਾ ਸ਼ਾਮਲ ਹੈ, ਅੰਤ ਵਿੱਚ ਗੁਪਤ ਮਾਈਨਰ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਬੈਕਡੋਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨਾ।
ਹਮਲੇ ਦੀ ਗੁੰਝਲਦਾਰ ਪ੍ਰਕਿਰਤੀ ਵਿੱਚ ਲਾਗਾਂ ਦੀ ਇੱਕ ਲੜੀ ਸ਼ਾਮਲ ਸੀ। ਸ਼ੁਰੂ ਵਿੱਚ, ਈਸਕੈਨ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੇ ਅੱਪਡੇਟ ਸਿਸਟਮ ਨਾਲ ਸੰਚਾਰ ਕੀਤਾ, ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੂੰ ਅੱਪਡੇਟ ਪੈਕੇਜਾਂ ਨੂੰ ਰੋਕਣ ਅਤੇ ਬਦਲਣ ਦਾ ਮੌਕਾ ਪ੍ਰਦਾਨ ਕੀਤਾ। ਰੁਕਾਵਟ ਦਾ ਸਹੀ ਤਰੀਕਾ ਅਸਪਸ਼ਟ ਹੈ, ਹਾਲਾਂਕਿ ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਅੰਦਾਜ਼ਾ ਹੈ ਕਿ ਸਮਝੌਤਾ ਕੀਤੇ ਨੈਟਵਰਕਾਂ ਨੇ ਟ੍ਰੈਫਿਕ ਦੇ ਖਤਰਨਾਕ ਰੀਡਾਇਰੈਕਸ਼ਨ ਦੀ ਸਹੂਲਤ ਦਿੱਤੀ ਹੋ ਸਕਦੀ ਹੈ। ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ, ਮਾਲਵੇਅਰ ਨੇ DLL ਹਾਈਜੈਕਿੰਗ ਨੂੰ ਲਗਾਇਆ ਅਤੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਚੈਨਲਾਂ ਨਾਲ ਜੁੜਨ ਲਈ ਕਸਟਮ ਡੋਮੇਨ ਨਾਮ ਸਿਸਟਮ (DNS) ਸਰਵਰਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਹਮਲੇ ਦੇ ਬਾਅਦ ਦੇ ਦੁਹਰਾਓ ਨੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ IP ਐਡਰੈੱਸ ਮਾਸਕਿੰਗ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਦੇ ਕੁਝ ਰੂਪਾਂ ਨੇ ਆਪਣੇ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਚਿੱਤਰ ਫਾਈਲਾਂ ਦੇ ਅੰਦਰ ਲੁਕਾ ਦਿੱਤਾ, ਜਿਸ ਨਾਲ ਖੋਜ ਨੂੰ ਹੋਰ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਇਆ ਗਿਆ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲਾਵਰਾਂ ਨੇ ਮਾਲਵੇਅਰ ਦੀ ਸਫਲ ਸਥਾਪਨਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ, ਕੁਝ ਸਿਸਟਮਾਂ ਦੀਆਂ ਡਿਜੀਟਲ ਦਸਤਖਤ ਲੋੜਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ ਇੱਕ ਕਸਟਮ ਰੂਟ TLS ਸਰਟੀਫਿਕੇਟ ਸਥਾਪਤ ਕੀਤਾ। ਹੈਰਾਨੀ ਦੀ ਗੱਲ ਹੈ ਕਿ, ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੇ ਨਾਲ, ਪੇਲੋਡ ਵਿੱਚ XMRig , ਇੱਕ ਓਪਨ-ਸੋਰਸ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਸੌਫਟਵੇਅਰ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਹਮਲਾਵਰਾਂ ਦੇ ਇਰਾਦਿਆਂ ਬਾਰੇ ਸਵਾਲ ਉਠਾਉਂਦਾ ਹੈ।
GuptiMiner ਓਪਰੇਸ਼ਨ ਨੇ eScan ਦੇ ਅਭਿਆਸਾਂ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਖਾਮੀਆਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ ਅੱਪਡੇਟ ਡਿਲੀਵਰੀ ਲਈ HTTPS ਦੀ ਘਾਟ ਅਤੇ ਅੱਪਡੇਟ ਦੀ ਇਕਸਾਰਤਾ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਡਿਜੀਟਲ ਸਾਈਨਿੰਗ ਦੀ ਅਣਹੋਂਦ ਸ਼ਾਮਲ ਹੈ। ਇਹਨਾਂ ਕਮੀਆਂ ਦੇ ਬਾਵਜੂਦ, eScan ਨੇ ਉਹਨਾਂ ਦੇ ਅੱਪਡੇਟ ਪ੍ਰਕਿਰਿਆ ਡਿਜ਼ਾਈਨ ਸੰਬੰਧੀ ਪੁੱਛਗਿੱਛਾਂ ਦਾ ਜਵਾਬ ਨਹੀਂ ਦਿੱਤਾ।
eScan ਐਂਟੀਵਾਇਰਸ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸੰਭਾਵੀ ਲਾਗਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਲਈ Avast ਦੀ ਪੋਸਟ ਦੀ ਸਮੀਖਿਆ ਕਰਨ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਹਾਲਾਂਕਿ ਇਹ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਜ਼ਿਆਦਾਤਰ ਨਾਮਵਰ ਐਂਟੀਵਾਇਰਸ ਪ੍ਰੋਗਰਾਮ ਇਸ ਖਤਰੇ ਦਾ ਪਤਾ ਲਗਾਉਣਗੇ। ਇਹ ਘਟਨਾ ਆਧੁਨਿਕ ਸਾਈਬਰ ਹਮਲਿਆਂ ਤੋਂ ਸੁਰੱਖਿਆ ਲਈ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ।