Szkodliwe oprogramowanie w systemie służącym do zarządzania serwerami

Klaudia Ciesielska
4 min

Wykryto szkodliwy program zaszyty w oprogramowaniu służącym do zarządzania serwerami użytkowanym przez setki dużych przedsiębiorstw na całym świecie. Po aktywacji szkodliwy program pozwala atakującym na pobieranie dalszych niebezpiecznych modułów i kradzież danych. Kaspersky Lab poinformował o odkryciu NetSarang, producenta zaatakowanej aplikacji, i firma ta opublikowała uaktualnienie usuwające szkodliwy kod.

ShadowPad to jeden z największych znanych ataków na łańcuchy dostaw. Gdyby zagrożenie nie zostało tak szybko wykryte, a szkodliwy kod nie zostałby usunięty z zaatakowanej aplikacji, mogłoby dojść do poważnych cyberincydentów w wielu firmach na świecie.

W lipcu 2017 r. z Globalnym Zespołem ds. Badań i Analiz Kaspersky Lab (GReAT) skontaktował się jeden z partnerów firmy — organizacja finansowa. Eksperci ds. bezpieczeństwa z tej firmy natknęli się na podejrzane żądania DNS pochodzące z systemu zaangażowanego w przetwarzanie transakcji finansowych. Dalsze dochodzenie ujawniło, że źródłem tych żądań było rozwiązanie zarządzające serwerami dostarczane przez legalną firmę, stosowane przez setki klientów z takich branż jak finanse, edukacja, produkcja, telekomunikacja, energia czy transport. Najbardziej niepokojące było to, że producent tego oprogramowania nie wyposażył go w funkcję, która mogłaby wysyłać takie żądania.

Dalsza analiza przeprowadzona przez ekspertów z Kaspersky Lab ujawniła, że podejrzane żądania były wynikiem aktywności szkodliwego modułu ukrytego w najnowszej wersji omawianego legalnego oprogramowania. Po instalacji zainfekowanej aktualizacji narzędzia szkodliwy moduł wysyłał co osiem godzin żądania DNS do określonych domen prowadzących do serwerów wykorzystywanych przez cyberprzestępców do kontrolowania ataku. Żądania zawierały podstawowe informacje o systemie ofiary, takie jak nazwa użytkownika, domeny i maszyny. Jeżeli atakujący uznali dany system za „interesujący”, serwer odpowiadał i aktywował w pełni funkcjonalny szkodliwy kod, który ukradkowo instalował się w systemie. Następnie, po otrzymaniu odpowiedniego polecenia od atakujących, szkodliwy program mógł pobierać i uruchamiać dalsze narzędzia.

REKLAMA

Usunięcie problemu

Po dokonaniu powyższych odkryć eksperci z Kaspersky Lab skontaktowali się z firmą NetSarang, która zareagowała niezwłocznie i opublikowała uaktualnioną wersję swojego oprogramowania, już bez szkodliwego kodu.

Według wyników badania Kaspersky Lab sygnały świadczące o aktywacji omawianego szkodliwego programu zostały zarejestrowane jedynie w Hongkongu, jednak narzędzie to może pozostawać w uśpieniu na wielu systemach na całym świecie, jeżeli użytkownicy nie zainstalowali najnowszego uaktualnienia opublikowanego przez firmę NetSarang.

Podczas analizy technik wykorzystanych przez cyberprzestępców badacze z Kaspersky Lab doszli do wniosku, że pewne mechanizmy są bardzo podobne do tych stosowanych wcześniej przez chińskojęzyczne grupy cyberszpiegowskie PlugX oraz Winnti. Należy podkreślić, że podobieństwa te nie jest wystarczające, by określić dokładne powiązania między tymi grupami a omawianym atakiem.

ShadowPad to przykład bardzo niebezpiecznego, zakrojonego na szeroką skalę ataku na łańcuchy dostaw. Biorąc pod uwagę możliwości dotarcia do poufnych danych dużych firm, metoda ta najprawdopodobniej będzie wielokrotnie odtwarzana przez innych cyberprzestępców z użyciem różnego popularnego oprogramowania użytkowanego przez przedsiębiorstwa. Na szczęście firma NetSarang zareagowała szybko i opublikowała niezainfekowane uaktualnienie swojego oprogramowania, co najprawdopodobniej zapobiegnie setkom incydentów kradzieży danych korporacyjnych. Omawiany atak pokazuje, że duże firmy powinny rozważyć wdrożenie zaawansowanych rozwiązań bezpieczeństwa potrafiących monitorować aktywność sieciową i identyfikować wszelkie anomalie. Takie mechanizmy pozwalają na wychwycenie szkodliwych działań, nawet gdy atakujący dysponują zaawansowanymi technikami ukrywania swoich modułów w legalnym oprogramowaniu — powiedział Igor Sołmenkow, ekspert ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

Wszystkie produkty Kaspersky Lab wykrywają i neutralizują szkodliwe oprogramowanie ShadowPad jako Backdoor.Win32.ShadowPad.a.

Kaspersky Lab zaleca wszystkim użytkownikom oprogramowania firmy NetSarang jak najszybsze zainstalowanie opublikowanego uaktualnienia, które usuwa szkodliwy kod z tego rozwiązania. Ponadto firmy powinny poszukać w swoich systemach oznak żądań DNS wysyłanych do nietypowych domen. Lista domen wykorzystywanych przez serwery cyberprzestępcze w ramach omawianego ataku jest dostępna wraz z dalszymi szczegółami technicznymi na stronie http://r.kaspersky.pl/tEAiJ.