บริการ eScan Antivirus ที่ส่งการอัปเดตผ่าน HTTP ถูกโจมตีและติดไวรัสโดยแฮกเกอร์
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในบริการป้องกันไวรัสเพื่อเผยแพร่มัลแวร์ไปยังผู้ใช้ที่ไม่สงสัยเป็นเวลาห้าปีที่น่าทึ่ง การโจมตีดังกล่าวมุ่งเป้าไปที่ eScan Antivirus ซึ่งเป็นบริษัทที่ตั้งอยู่ในอินเดีย ซึ่งได้ทำการอัพเดตผ่าน HTTP ซึ่งเป็นโปรโตคอลที่ทราบกันดีว่ามีความไวต่อการโจมตีทางไซเบอร์ที่จัดการหรือประนีประนอมข้อมูลระหว่างการส่งข้อมูล นักวิจัยด้านความปลอดภัยจาก Avast เปิดเผยว่าผู้กระทำผิดซึ่งอาจเชื่อมโยงกับรัฐบาลเกาหลีเหนือ ได้ดำเนินการโจมตีแบบแทรกกลางการสื่อสาร (MitM) ที่ซับซ้อน กลยุทธ์นี้เกี่ยวข้องกับการสกัดกั้นการอัปเดตที่ถูกต้องตามกฎหมายจากเซิร์ฟเวอร์ของ eScan และแทนที่ด้วยไฟล์ที่เป็นอันตราย ซึ่งท้ายที่สุดจะติดตั้งแบ็คดอร์ที่เรียกว่า GuptiMiner
ลักษณะที่ซับซ้อนของการโจมตีเกี่ยวข้องกับการติดเชื้อต่อเนื่อง ในขั้นต้น แอปพลิเคชัน eScan จะสื่อสารกับระบบอัปเดต เปิดโอกาสให้ผู้ดำเนินการภัยคุกคามสามารถสกัดกั้นและแทนที่แพ็คเกจอัปเดตได้ วิธีการสกัดกั้นที่แน่นอนยังไม่ชัดเจน แม้ว่านักวิจัยคาดการณ์ว่าเครือข่ายที่ถูกบุกรุกอาจเอื้อต่อการเปลี่ยนเส้นทางการรับส่งข้อมูลที่เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับ มัลแวร์ใช้ การจี้ DLL และใช้เซิร์ฟเวอร์ระบบชื่อโดเมน (DNS) แบบกำหนดเองเพื่อเชื่อมต่อกับช่องทางที่ผู้โจมตีควบคุม การโจมตีซ้ำในภายหลังใช้การปิดบังที่อยู่ IP เพื่อ ทำให้โครงสร้างพื้นฐานคำสั่งและการควบคุม (C&C) สับสน
นอกจากนี้ มัลแวร์บางสายพันธุ์ยังซ่อนโค้ดที่เป็นอันตรายไว้ในไฟล์ภาพ ทำให้การตรวจจับมีความท้าทายมากขึ้น นอกจากนี้ ผู้โจมตียังติดตั้งใบรับรอง TLS รูทแบบกำหนดเองเพื่อให้เป็นไปตามข้อกำหนดการเซ็นชื่อดิจิทัลของระบบบางระบบ เพื่อให้มั่นใจว่าการติดตั้งมัลแวร์จะประสบความสำเร็จ น่าแปลกที่นอกเหนือจากแบ็คดอร์แล้ว เพย์โหลดดังกล่าวยังรวม XMRig ซึ่งเป็นซอฟต์แวร์ขุดเหมืองสกุลเงินดิจิทัลแบบโอเพ่นซอร์ส ทำให้เกิดคำถามเกี่ยวกับแรงจูงใจของผู้โจมตี
การดำเนินการของ GuptiMiner เผยให้เห็นข้อบกพร่องด้านความปลอดภัยที่สำคัญในแนวทางปฏิบัติของ eScan รวมถึงการขาด HTTPS สำหรับการส่งมอบการอัปเดต และการไม่มีการลงนามดิจิทัลเพื่อตรวจสอบความสมบูรณ์ของการอัปเดต แม้จะมีข้อบกพร่องเหล่านี้ eScan ก็ไม่ตอบคำถามเกี่ยวกับการออกแบบกระบวนการอัปเดต
ผู้ใช้ eScan Antivirus ควรตรวจสอบโพสต์ของ Avast เพื่อดูข้อมูลเกี่ยวกับการติดไวรัสที่อาจเกิดขึ้น แม้ว่าโปรแกรมป้องกันไวรัสที่มีชื่อเสียงส่วนใหญ่จะตรวจพบภัยคุกคามนี้ก็ตาม เหตุการณ์นี้เน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยที่แข็งแกร่งในการป้องกันการโจมตีทางไซเบอร์ที่ซับซ้อน