Antivírusová služba eScan poskytujúca aktualizácie cez HTTP bola napadnutá a infikovaná hackermi

Hackeri zneužili zraniteľnosť antivírusovej služby na distribúciu malvéru nič netušiacim používateľom počas ohromujúcich piatich rokov. Útok sa zameral na eScan Antivirus, spoločnosť so sídlom v Indii, ktorá doručovala aktualizácie cez HTTP, protokol známy svojou náchylnosťou na kybernetické útoky, ktoré manipulujú alebo kompromitujú dáta počas prenosu. Bezpečnostní výskumníci z Avastu odhalili, že páchatelia, pravdepodobne spojení so severokórejskou vládou, vykonali sofistikovaný útok typu man-in-the-middle (MitM). Táto taktika zahŕňala zachytenie legitímnych aktualizácií zo serverov eScan a ich nahradenie škodlivými súbormi, v konečnom dôsledku inštaláciu backdoor známeho ako GuptiMiner.

Komplexná povaha útoku zahŕňala reťazec infekcií. Aplikácie eScan spočiatku komunikovali s aktualizačným systémom, čím poskytovali aktérom hrozieb príležitosť zachytiť a nahradiť aktualizačné balíčky. Presný spôsob odpočúvania zostáva nejasný, hoci výskumníci špekulujú, že ohrozené siete mohli uľahčiť škodlivé presmerovanie prevádzky. Aby sa vyhol detekcii, malvér využíval únosy DLL a využíval vlastné servery systému názvov domén (DNS) na pripojenie ku kanálom kontrolovaným útočníkom. Neskoršie iterácie útoku využívali maskovanie IP adries na zahmlievanie infraštruktúry príkazov a riadenia (C&C) .

Niektoré varianty malvéru navyše skrývali svoj škodlivý kód v súboroch s obrázkami, čo sťažovalo detekciu. Útočníci navyše nainštalovali vlastný koreňový certifikát TLS, aby splnili požiadavky na digitálne podpisovanie určitých systémov a zabezpečili tak úspešnú inštaláciu malvéru. Prekvapivo, popri zadných vrátkach, náklad zahŕňal XMRig , open-source softvér na ťažbu kryptomien, ktorý vyvolával otázky o motívoch útočníkov.

Operácia GuptiMiner odhalila významné bezpečnostné chyby v postupoch eScan, vrátane nedostatku HTTPS na doručovanie aktualizácií a absencie digitálneho podpisovania na overenie integrity aktualizácie. Napriek týmto nedostatkom eScan nereagoval na otázky týkajúce sa ich návrhu procesu aktualizácie.

Používateľom eScan Antivirus sa odporúča, aby si prečítali príspevok Avastu, kde nájdete informácie o potenciálnych infekciách, aj keď je pravdepodobné, že väčšina renomovaných antivírusových programov túto hrozbu odhalí. Tento incident podčiarkuje dôležitosť robustných bezpečnostných opatrení pri ochrane pred sofistikovanými kybernetickými útokmi.