Napadalci skrili zadnja vrata »ShadowPad« v globalno razširjeno uradno programsko opremo

25.08.2017

Strokovnjaki v družbi Kaspersky Lab so v programski opremi za upravljanje strežnikov (angl. server management software product), ki jo uporablja na stotine velikih podjetij po svetu, odkrili zadnja vrata – ShadowPad.

Po aktivaciji zadnja vrata napadalcem omogočajo prenos nadaljnjih zlonamernih modulov ali krajo podatkov. Kaspersky Lab je obvestil ponudnika te programske opreme , ki je takoj odstranil zlonamerno kodo in izdal posodobitev za svoje uporabnike.

Napad preko zadnjih vrat ShadowPad je primer nevarnosti, ki jih predstavlja uspešen napad na oskrbovalne verige. V primeru, da napad ne bi bil prepoznan in da ranljivost ne bi bila odpravljena tako hitro, bi lahko zlonamerna koda ogrozila na stotine organizacij po vsem svetu.

Julija 2017 se je na skupino za globalne raziskave in analize (GReAT) v družbi Kaspersky Lab obrnila partnerska organizacija iz finančne panoge. Tamkajšnji varnostni strokovnjaki so bili v skrbeh zaradi sumljivih poizvedb DNS (angl. Domain Name System requests) na sistemu za obdelavo finančnih transakcij. Nadaljnja preiskava je pokazala, da te poizvedbe izvirajo iz programske opreme za upravljanje strežnikov, ki jo proizvaja uradno podjetje in jo uporablja na stotine poslovnih uporabnikov s področij finančnih storitev, izobraževanja, telekomunikacij, proizvodnje ter iz energetske in transportne panoge. Najbolj zaskrbljujoča ugotovitev je dejstvo, da ponudnik ni zaznal teh izvedb pri svoji programski opremi.

Nadaljnja analiza družbe Kaspersky Lab je pokazala, da so bile sumljive poizvedbe posledica delovanja zlonamerne kode, ki je bila skrita v nedavni različici uradne programske opreme. Po namestitvi škodljive programske posodobitve je zlonamerni modul začel pošiljati poizvedbe DNS na posebne domene (na strežnik za upravljanje in nadzor) s frekvenco ene poizvedbe vsakih osem ur. Poizvedba je vsebovala osnovne informacije o sistemu žrtve (uporabniško ime, ime domene, ime gostitelja). Če so napadalci ocenili sistem kot »zanimiv«, se je strežnik odzval in aktiviral zadnja vrata (angl. backdoor platform) v napadenem računalniku. Ta so nato po navodilu napadalcev omogočila nadaljnji prenos in izvrševanje zlonamerne kode.    

Po raziskovanju družbe Kaspersky Lab je bil doslej zlonamerni modul aktiviran v Hongkongu. Kljub temu bi lahko bil v mirovanju na številnih sistemih po svetu, zlasti če uporabniki še niso namestili posodobljene različice prizadete programske opreme.

Pri analizi orodij, tehnik in postopkov napadalcev so raziskovalci iz družbe Kaspersky Lab odkrili podobnosti, ki kažejo na različice zlonamerne opreme PlugX kitajsko govoreče vohunske skupine Winnti APT. Kljub temu pa ta ugotovitev ne zadošča za vzpostavitev povezave s tokratnimi napadalci.

»ShadowPad je primer, kako nevaren in obširen je lahko uspešen napad na oskrbovalne verige. S tem ko napadalcem daje priložnost napada velikega dosega in omogoča zbiranje podatkov, je zelo verjetno, da se ponovno pojavi pri kakšni drugi programski opremi. K sreči je ponudnik NetSarang po našem obvestilu hitro ukrepal in izdal posodobljeno programsko različico in verjetno preprečil, da bi napadalci ukradli podatke na stotinam njegovih uporabnikov. Primer dokazuje, da so za velika podjetja dobrodošle napredne varnostne rešitve, ki so zmožne nadzorovati delovanje omrežja in zaznavati anomalije. Četudi so napadalci dovolj napredni, da svojo zlonamerno kodo skrijejo v uradno programsko opremo, tako obstaja možnost za prepoznavanje zlonamernih aktivnosti,« pojasnjuje Igor Soumenkov, varnostni strokovnjak v skupini za globalne raziskave in analize v družbi Kaspersky Lab.

Vse varnostne rešitve družbe Kaspersky Lab so zaščitile uporabnike pred zlonamerno programsko opremo ShadowPad, ki so jo prepoznale kot  “Backdoor.Win32.ShadowPad.a”.

Kaspersky Lab svetuje uporabnikom namestitev najnovejše različice programske opreme ponudnika NetSarang, iz katere je bila odstranjena zlonamerna koda. Prav tako je priporočljiv pregled sistema in morebitno pošiljanje poizvedb DNS na navedene domene. Seznam domen, ki jih uporablja zlonamerni modul lahko najdete v objavi na spletnem mestu Securelist, kjer je tudi več tehničnih podrobnosti o omenjenih zadnjih vratih.