Ang Serbisyo ng eScan Antivirus na Naghahatid ng Mga Update sa HTTP ay Inatake at Naimpeksyon ng mga Hacker
Sinamantala ng mga hacker ang isang kahinaan sa isang serbisyo ng antivirus upang ipamahagi ang malware sa mga hindi mapag-aalinlanganang user sa loob ng limang taon. Ang pag-atake ay naka-target sa eScan Antivirus, isang kumpanyang nakabase sa India, na naghahatid ng mga update sa pamamagitan ng HTTP, isang protocol na kilala sa pagiging madaling kapitan nito sa mga cyberattack na nagmamanipula o nagkokompromiso ng data sa panahon ng paghahatid. Ang mga mananaliksik ng seguridad mula sa Avast ay nagsiwalat na ang mga salarin, na posibleng nauugnay sa pamahalaan ng North Korea, ay nagsagawa ng isang sopistikadong pag-atake ng man-in-the-middle (MitM). Kasama sa taktika na ito ang pagharang ng mga lehitimong update mula sa mga server ng eScan at pagpapalit sa mga ito ng mga nakakahamak na file, sa huli ay nag-i-install ng backdoor na kilala bilang GuptiMiner.
Ang kumplikadong katangian ng pag-atake ay nagsasangkot ng isang kadena ng mga impeksyon. Sa una, ang mga aplikasyon ng eScan ay nakipag-ugnayan sa sistema ng pag-update, na nagbibigay ng pagkakataon para sa mga aktor ng pagbabanta na maharang at palitan ang mga pakete ng pag-update. Ang eksaktong paraan ng pagharang ay nananatiling hindi malinaw, kahit na ang mga mananaliksik ay nag-isip na ang mga nakompromisong network ay maaaring nagpadali sa malisyosong pag-redirect ng trapiko. Upang maiwasan ang pagtuklas, ginamit ng malware ang pag-hijack ng DLL at ginamit ang mga server ng custom na domain name system (DNS) para sa pagkonekta sa mga channel na kinokontrol ng attacker. Ang mga pag-ulit sa ibang pagkakataon ng pag-atake ay gumamit ng IP address masking upang i-obfuscate ang command-and-control (C&C) na imprastraktura .
Bukod pa rito, itinago ng ilang variant ng malware ang kanilang malisyosong code sa loob ng mga file ng imahe, na ginagawang mas mahirap ang pagtuklas. Bukod dito, nag-install ang mga umaatake ng custom na root TLS certificate upang matugunan ang mga kinakailangan sa digital signing ng ilang partikular na system, na tinitiyak ang matagumpay na pag-install ng malware. Nakapagtataka, sa tabi ng backdoor, kasama sa payload ang XMRig , isang open-source na cryptocurrency mining software, na naglalabas ng mga tanong tungkol sa mga motibo ng mga umaatake.
Ang operasyon ng GuptiMiner ay nagsiwalat ng mga makabuluhang bahid sa seguridad sa mga kasanayan ng eScan, kabilang ang kakulangan ng HTTPS para sa paghahatid ng update at ang kawalan ng digital signing upang i-verify ang integridad ng update. Sa kabila ng mga pagkukulang na ito, hindi tumugon ang eScan sa mga katanungan tungkol sa kanilang disenyo ng proseso ng pag-update.
Ang mga gumagamit ng eScan Antivirus ay pinapayuhan na suriin ang post ng Avast para sa impormasyon sa mga potensyal na impeksyon, bagama't malamang na ang karamihan sa mga kagalang-galang na antivirus program ay makatuklas ng banta na ito. Binibigyang-diin ng insidenteng ito ang kahalagahan ng matatag na mga hakbang sa seguridad sa pag-iingat laban sa mga sopistikadong cyberattacks.