Protivirusno storitev eScan, ki zagotavlja posodobitve prek HTTP, so napadli in okužili hekerji

Hekerji so izkoristili ranljivost protivirusne storitve za distribucijo zlonamerne programske opreme nič hudega slutečim uporabnikom osupljivih pet let. Cilj napada je bil eScan Antivirus, podjetje s sedežem v Indiji, ki je pošiljalo posodobitve prek protokola HTTP, ki je znan po svoji dovzetnosti za kibernetske napade, ki manipulirajo ali ogrožajo podatke med prenosom. Varnostni raziskovalci iz Avasta so razkrili, da so storilci, ki so verjetno povezani s severnokorejsko vlado, izvedli prefinjen napad človeka v sredini (MitM). Ta taktika je vključevala prestrezanje legitimnih posodobitev s strežnikov eScan in njihovo zamenjavo z zlonamernimi datotekami, na koncu pa namestitev stranskih vrat, znanih kot GuptiMiner.

Kompleksna narava napada je vključevala verigo okužb. Na začetku so aplikacije eScan komunicirale s sistemom za posodabljanje, kar je akterjem groženj omogočilo, da prestrežejo in zamenjajo posodobitvene pakete. Natančna metoda prestrezanja ostaja nejasna, čeprav raziskovalci špekulirajo, da so ogrožena omrežja morda olajšala zlonamerno preusmeritev prometa. Da bi se izognila odkrivanju, je zlonamerna programska oprema uporabila ugrabitev DLL in uporabila strežnike sistema domenskih imen po meri (DNS) za povezavo s kanali, ki jih nadzorujejo napadalci. Kasnejše ponovitve napada so uporabile maskiranje naslova IP, da bi prikrili infrastrukturo ukazov in nadzora (C&C) .

Poleg tega so nekatere različice zlonamerne programske opreme svojo zlonamerno kodo skrile v slikovne datoteke, zaradi česar je odkrivanje težje. Poleg tega so napadalci namestili korensko potrdilo TLS po meri, da bi izpolnili zahteve za digitalno podpisovanje določenih sistemov in zagotovili uspešno namestitev zlonamerne programske opreme. Presenetljivo je, da je koristni tovor poleg stranskih vrat vključeval XMRig , odprtokodno programsko opremo za rudarjenje kriptovalut, kar postavlja vprašanja o motivih napadalcev.

Operacija GuptiMiner je razkrila pomembne varnostne pomanjkljivosti v praksi eScan, vključno s pomanjkanjem HTTPS za dostavo posodobitev in odsotnostjo digitalnega podpisovanja za preverjanje celovitosti posodobitev. Kljub tem pomanjkljivostim eScan ni odgovoril na poizvedbe glede zasnove procesa posodabljanja.

Uporabnikom eScan Antivirus svetujemo, da pregledajo objavo Avast za informacije o morebitnih okužbah, čeprav je verjetno, da bi večina uglednih protivirusnih programov zaznala to grožnjo. Ta incident poudarja pomen močnih varnostnih ukrepov pri zaščiti pred sofisticiranimi kibernetskimi napadi.