Stručnjaci iz kompanije Kaspersky Lab otkrili su backdoor virus podmetnut u softver za upravljanje serverima, koji koriste brojne velike kompanije širom sveta. Kada je aktiviran, backdoor omogućuje napadačima da preuzmu dodatne maliciozne module ili da kradu podatke. Kaspersky Lab je obavestio o ovom incidentu kompaniju NetSarang, proizvođača ovog softvera, koja je veoma brzo uklonila maliciozni kod i objavila paket za ažuriranje za svoje klijente.
ShadowPad je jedan od najvećih detektovanih „supply-chain“ napada. Da nije uočen i da ranjivost nije ažurirana tako brzo, imao je potencijal da ošteti stotine organizacija širom sveta. U julu 2017. godine, jedna finansijska institucija, koja je partner kompanije Kaspersky Lab, kontaktirala je njihov globalni tim za istraživanje i analizu (GReAT). Bezbednosni stručnjaci ove organizacije bili su zabrinuti zbog sumnjivih DNS (domain name server) zahteva koji su dolazili sa sistema koji je zadužen za procesuiranje finansijskih transakcija.
Dubljom istragom je ustanovljeno da je izvor ovih zahteva bio softver za upravljanje serverom koji je kreirala legitimna kompanija, i koji su koristile brojne druge kompanije iz industrija kao što su finansije, obrazovanje, telekomunikacije, proizvodnja, energetika i transport. Činjenica koja je zabrinjavala jeste to da proizvođač ovog softvera nije želeo da softver kreira te zahteve.
Daljom analizom, koju je sprovela kompanija Kaspersky Lab, ustanovljeno je da su sumnjivi zahtevi bili posledica malicioznog koda koji je bio sakriven u noviju verziju legitimnog softvera. Napadači su preko malicioznog koda prvo prikupljali osnovne informacije o sistemu žrtve, kao što su korisničko ime, ime domena, itd. Ako bi se ispostavilo da im je taj sistem „primamljiv“, oni bi zatim sproveli kompletan „backdoor“ napad pomoću kojeg bi mogli da preuzmu i pokrenu dodatne maliciozne kodove.
Nakon ovog otkrića, istraživači iz kompanije Kaspersky Lab odmah su kontaktirali kompaniju NetSarang. Kompanija je reagovala veoma brzo i objavila ažuriranu verziju softvera bez malicioznog koda. Prema podacima koje poseduje kompanija Kaspersky Lab, maliciozni kod je za sada aktiviran u Hong Kongu, ali može biti prisutan i u drugim sistemima širom sveta, naročito ako korisnici nisu instalirali ažuriranu verziju softvera.
„ShadowPad je odličan primer koliko opasan i rasprostranjen može da bude uspešan „supply-chain“ napad. Uzimajući u obzir mogućnosti za krađu podataka koje on pruža napadačima, postoji velika verovatnoća da će sličan napad biti sproveden u budućnosti, preko ranjivosti određenih široko rasprostranjenih softverskih komponenata. Srećom, kompanija NetSarang je veoma brzo reagovala na naše upozorenje i objavila čistu i ažuriranu verziju softvera kako bi sprečila gubitak podataka svojih klijenata. Međutim, ovaj slučaj nam pokazuje da bi velike kompanije trebalo da se oslanjaju na napredna rešenja koja su u stanju da nadgledaju aktivnosti na mreži i da detektuju sve anomalije”, izjavio je Igor Sumenkov (Igor Soumenkov), bezbednosni stručnjak u kompaniji Kaspersky Lab.
Izjava kompanije NetSarang „Kako bi se izborila sa sajber pretnjama kompanija NetSarang koristi različite metode i mere za zaštitu svojih proizvoda i sprečavanje njihovog kompromitovanja, inficiranja ili malicioznog korišćenja. Nažalost, jedna verzija našeg proizvoda isporučena je 18. jula 2017. godine sa instaliranim backdoor virusom, bez našeg znanja.
Bezbednost naših klijenata i korisnika predstavlja naš najveći prioritet i našu odgovornost. Činjenica da maliciozne hakerske grupe koriste komercijalne i legitimne softvere za zlonamerne aktivnosti predstavlja veliku brigu za NetSarang i druge softverske kompanije, koje ovu pretnju shvataju veoma ozbiljno.
Kompanija NetSarang je posvećena očuvanju privatnosti svojih korisnika i zbog toga smo instalirali novi bezbednosni sistem kako bismo bili sigurni da ni jedan naš proizvod više neće biti kompromitovan. NetSarang će nastaviti da nadgleda i unapređuje svoje bezbednosne sisteme ne samo kako bi se izborilo sa napadima kriminalnih grupa, već i kako bi ponovo dobilo poverenje svojih klijenata”.
Svi proizvodi kompanije Kaspersky Lab detektuju ShadowPad malver kao “Backdoor.Win32.ShadowPad.a”.
Kompanija Kaspersky Lab savetuje korisnike da ažuriraju softver na najnoviju verziju koju je objavila kompanija NetSarang, sa koje je uklonjen maliciozni modul, kao i da provere da li u njihovim sistemima ima znakova DNS upita sa sumnjivih domena. Spisak komandnih i kontrolnih servera koje koristi maliciozni modul možete pronaći na blog postu na stranici Securelist, koji takođe sadrži tehničke informacije o samom backdoor virusu.