Usługa antywirusowa eScan dostarczająca aktualizacje przez HTTP została zaatakowana i zainfekowana przez hakerów

Hakerzy wykorzystywali lukę w usłudze antywirusowej, aby przez oszałamiające pięć lat rozpowszechniać złośliwe oprogramowanie wśród niczego niepodejrzewających użytkowników. Celem ataku była eScan Antivirus, firma z siedzibą w Indiach, która dostarczała aktualizacje za pośrednictwem protokołu HTTP – protokołu znanego z podatności na cyberataki manipulujące danymi podczas transmisji lub naruszające ich bezpieczeństwo. Badacze bezpieczeństwa z firmy Avast ujawnili, że sprawcy, prawdopodobnie powiązani z rządem Korei Północnej, przeprowadzili wyrafinowany atak typu man-in-the-middle (MitM). Taktyka ta polegała na przechwytywaniu legalnych aktualizacji z serwerów eScan i zastępowaniu ich złośliwymi plikami, co ostatecznie instalowało backdoora znanego jako GuptiMiner.

Złożony charakter ataku obejmował łańcuch infekcji. Początkowo aplikacje eScan komunikowały się z systemem aktualizacji, umożliwiając cyberprzestępcom przechwycenie i wymianę pakietów aktualizacji. Dokładna metoda przechwytywania pozostaje niejasna, chociaż badacze spekulują, że zaatakowane sieci mogły ułatwić złośliwe przekierowanie ruchu. Aby uniknąć wykrycia, szkodliwe oprogramowanie wykorzystywało przejmowanie bibliotek DLL i serwery niestandardowego systemu nazw domen (DNS) w celu łączenia się z kanałami kontrolowanymi przez osobę atakującą. W późniejszych iteracjach ataku wykorzystano maskowanie adresów IP w celu zaciemnienia infrastruktury dowodzenia i kontroli (C&C) .

Ponadto niektóre warianty złośliwego oprogramowania ukrywały swój złośliwy kod w plikach obrazów, co utrudniało wykrycie. Co więcej, osoby atakujące zainstalowały niestandardowy główny certyfikat TLS, aby spełnić wymagania niektórych systemów dotyczące podpisu cyfrowego, zapewniając pomyślną instalację szkodliwego oprogramowania. Co zaskakujące, obok backdoora ładunek zawierał XMRig , oprogramowanie do wydobywania kryptowalut o otwartym kodzie źródłowym, co rodziło pytania dotyczące motywów atakujących.

Operacja GuptiMiner ujawniła istotne luki w zakresie bezpieczeństwa w praktykach eScan, w tym brak protokołu HTTPS do dostarczania aktualizacji oraz brak podpisu cyfrowego w celu sprawdzenia integralności aktualizacji. Pomimo tych niedociągnięć firma eScan nie odpowiedziała na zapytania dotyczące projektu procesu aktualizacji.

Użytkownikom programu eScan Antivirus zaleca się zapoznanie z postem Avast w celu uzyskania informacji na temat potencjalnych infekcji, chociaż jest prawdopodobne, że większość renomowanych programów antywirusowych wykryje to zagrożenie. Incydent ten podkreśla znaczenie solidnych środków bezpieczeństwa w ochronie przed wyrafinowanymi cyberatakami.