Shërbimi Antivirus eScan që jep përditësime mbi HTTP u sulmua dhe u infektua nga hakerët
Hakerët shfrytëzuan një dobësi në një shërbim antivirus për të shpërndarë malware tek përdoruesit që nuk dyshojnë për pesë vjet. Sulmi kishte në shënjestër eScan Antivirus, një kompani me bazë në Indi, e cila kishte dhënë përditësime mbi HTTP, një protokoll i njohur për ndjeshmërinë e tij ndaj sulmeve kibernetike që manipulojnë ose komprometojnë të dhënat gjatë transmetimit. Studiuesit e sigurisë nga Avast zbuluan se autorët, ndoshta të lidhur me qeverinë e Koresë së Veriut, ekzekutuan një sulm të sofistikuar njeriu në mes (MitM). Kjo taktikë përfshinte përgjimin e përditësimeve legjitime nga serverët e eScan dhe zëvendësimin e tyre me skedarë me qëllim të keq, duke instaluar përfundimisht një backdoor të njohur si GuptiMiner.
Natyra komplekse e sulmit përfshinte një zinxhir infeksionesh. Fillimisht, aplikacionet eScan komunikuan me sistemin e përditësimit, duke ofruar një mundësi për aktorët e kërcënimit për të kapur dhe zëvendësuar paketat e përditësimit. Metoda e saktë e përgjimit mbetet e paqartë, megjithëse studiuesit spekulojnë se rrjetet e komprometuara mund të kenë lehtësuar ridrejtimin me qëllim të keq të trafikut. Për të shmangur zbulimin, malware përdori rrëmbimin e DLL dhe përdori serverët e sistemit të personalizuar të emrave të domenit (DNS) për t'u lidhur me kanalet e kontrolluara nga sulmuesit. Përsëritjet e mëvonshme të sulmit përdorën maskimin e adresës IP për të errësuar infrastrukturën e komandës dhe kontrollit (C&C) .
Për më tepër, disa variante të malware fshehën kodin e tyre me qëllim të keq brenda skedarëve të imazhit, duke e bërë zbulimin më sfidues. Për më tepër, sulmuesit instaluan një certifikatë të personalizuar rrënjë TLS për të përmbushur kërkesat e nënshkrimit dixhital të sistemeve të caktuara, duke siguruar instalimin e suksesshëm të malware. Çuditërisht, së bashku me derën e pasme, ngarkesa përfshinte XMRig , një softuer i minierave të kriptomonedhave me burim të hapur, duke ngritur pyetje në lidhje me motivet e sulmuesve.
Operacioni GuptiMiner zbuloi të meta të rëndësishme sigurie në praktikat e eScan, duke përfshirë mungesën e HTTPS për shpërndarjen e përditësimeve dhe mungesën e nënshkrimit dixhital për të verifikuar integritetin e përditësimit. Pavarësisht këtyre mangësive, eScan nuk iu përgjigj pyetjeve në lidhje me dizajnin e procesit të përditësimit të tyre.
Përdoruesit e eScan Antivirus këshillohen të rishikojnë postimin e Avast për informacion mbi infeksionet e mundshme, megjithëse ka të ngjarë që shumica e programeve antivirus me reputacion ta zbulojnë këtë kërcënim. Ky incident nënvizon rëndësinë e masave të forta të sigurisë në mbrojtjen kundër sulmeve të sofistikuara kibernetike.