Logisztikai cĂ©gek szĂĄzai menekĂŒltek meg
2017. szeptember 1.
A Kaspersky Lab szakértĆi egy szerverkezelĆ szoftverbe ágyazott hátsókaput fedeztek fel, amelyet több száz nagyvállalat használ világszerte.
Aktiválás után a hátsókapu lehetĆvé teszi a támadók számára, hogy további rosszindulatú modulokat töltsenek le vagy, hogy adatokat lopjanak. A Kaspersky Lab értesítette a fertĆzött szoftver viszonteladóját, a NetSarang céget, akik azonnal eltávolították a rosszindulatú kódot és egy új frissítést adtak ki ügyfeleik számára.
A ShadowPad az egyik legnagyobb ismert ellátásilánc támadás. Ha nem vették volna észre és nem javították volna ki ilyen gyorsan, több száz szervezetet fertĆzött volna meg világszerte.
2017 júliusában a Kaspersky Lab Global Research and Analysis Team (GReAT) részlegét felkereste egyik partnere, egy pénzügyi intézet. A szervezet biztonsági szakértĆi gyanús DNS-eket (domain name server) találtak a pénzügyi utalásokért felelĆs rendszerükben. Ezeket egy szerverkezelĆ szoftverhez vezették vissza, amelyet több száz ügyfél használ pénzügyi szolgáltatásokhoz, az oktatásban, a telekommunikációban, a gyári- és energiaiparban, valamint a szállítmányozásban. A legaggasztóbb az volt, hogy a szoftver forgalmazója nem tudott errĆl.
A Kaspersky Lab elemzése kimutatta, hogy a gyanús DNS-ek valójában egy rosszindulatú modulnak írhatók fel, amelyet a szoftver legújabb verziójába rejtettek. Egy fertĆzött frissítés telepítését követĆen a rosszindulatú modul kapcsolatba lép a vezérszerverével és nyolcóránként küld DNS lekérdezéseket. A lekérések az áldozatul esett rendszer alap információit tartalmazza. Ha a támadók "érdekesnek" találták a rendszert, a vezérszerver válaszol és egy hátsókapun keresztül aktivál egy platformot, amely titokban telepíti magát a megtámadott számítógépre. Azután a támadók parancsára a platform képes további rosszindulatú kódok letöltésére és indítására.
A felfedezést követĆen a Kaspersky Lab kutatói azonnal kapcsolatba léptek a NetSarang céggel, amely gyorsan reagált, eltávolította a rosszindulatú kódot a szoftverbĆl és kiadott egy frissített verziót.
A Kaspersky Lab kutatása szerint eddig a rosszindulatú modult, csak Hong Kong-ban aktiválták, de jelen lehet sok más rendszerben is világszerte, különösen ha a felhasználók még nem telepítették a frissített verziót.
A támadók által használt eszközök és technikák elemzése közben a Kaspersky Lab kutatói arra a következtetésre jutottak, hogy a modul hasonlóságokat mutat a PlugX vírus variánsaival, amelyeket egy ismert kínai nyelvƱ kiberkém csoport, a Winnti APT használ. Habár ez az információ önmagában nem elég ahhoz, hogy a támadást ezekhez az elkövetĆkhöz kössék.
"A ShadowPad jó példa arra, hogy milyen veszélyes lehet egy sikeres ellátásilánc támadás. Mivel kiváló adatgyƱjtési lehetĆséget ad a támadóknak, több, mint valószínƱ, hogy újabb hasonló támadások is lesznek más széles körben használt szoftverek megfertĆzése által. Szerencsére a NetSarang gyorsan reagált és egy tiszta szoftverfrissítést adott ki, így valószínƱleg több száz támadást elĆzött meg. Ez az eset azt mutatja, hogy a nagyvállalatok olyan biztonsági megoldásokra kell, hogy támaszkodjanak, amelyek folyamatosan felügyelik a hálózati tevékenységeket és felismerik a rendellenességeket. Itt lehet tetten érni a fertĆzéseket még akkor is, ha a támadók szofisztikált módszerekkel a vírust egy szoftverbe rejtik" - mondta Igor Soumenkov, a Kaspersky Lab GReAT csapatának biztonsági szakértĆje.
A NetSarang nyilatkozata
"A kibertámadások elhárítása érdekében a NetSarang különbözĆ lépéseket tett, hogy megakadályozza a kiberbƱnözĆket termékei megfertĆzésében és rosszindulatú használatában. Sajnos a 2017. július 18-án kiadott összes termékünk egy hátsókaput tartalmazott. Ügyfeleink biztonsága a fĆ prioritásunk és a mi felelĆsségünk. Az a tény, hogy rosszindulatú csoportok kereskedelmi forgalomban lévĆ szoftvereket használnak haszonszerzés céljából aggodalomra ad okot és a NetSarang és más szoftvercégek nagyon komolyan veszik ezt a veszélyt. A NetSarang elkötelezetten védi felhasználóit és mindent meg fog tenni azért, hogy fertĆzött termék soha ne jusson az ügyfél kezébe. A NetSarang folyamatosan javítani fogja biztonságosságát nem csak azért, hogy elhárítsa a rosszindulatú csoportok támadásait, hanem hogy visszanyerje hƱséges felhasználói bizalmát."
A Kaspersky Lab összes terméke felismeri és védelmet nyújt a ShadowPad vírussal (Backdoor.Win32.ShadowPad.a) szemben.
A Kaspersky Lab azt tanácsolja a felhasználóknak, hogy azonnal töltsék le a NetSarang szoftver legújabb verzióját, amelybĆl eltávolították a rosszindulatú kódot. A rosszindulatú modul által használt vezérszerverek listája megtalálható a Securelist blogposztjában, amelyben további technikai információkat olvashatnak a vírusról.
KapcsolĂłdĂł cikkek
- A Kaspersky Lab összegezte a legĂșjabb levĂ©lszemĂ©t Ă©s spam trendeket
- A Kaspersky Lab ingyenes megoldåsa védi az okosotthonokat
- A Kaspersky Lab ingyenes androidos védelmet fejlesztett ki az okosotthonok védelmére
- A spammerek a WannaCry zsarolĂłvĂrusbĂłl hĂșznak hasznot
- Az online kibertérben Magyarorszåg csak a 74. legveszélyesebb orszåg
- Magyarorszåg csak a 74. legveszélyesebb orszåg az online kibertérben
- A taxi appoktĂłl lop felhasznĂĄlĂłi adatokat a Faketoken trĂłjai Ășj verziĂłja
- A Faketoken trĂłjai Ășj verziĂłja taxi appok felhasznĂĄlĂłira vadĂĄszik
- MegĂĄllj a Wi-Fi hekkereknek!
- CĂ©lpontban a vilĂĄg legnagyobb hĂrĂŒgynöksĂ©gei Ă©s a Skype szerverei