Odborníci ze společnosti Kaspersky Lab objevili backdoor v softwaru pro správu serverů využívaném stovkami velkých firem po celém světě. Pokud by došlo k jeho aktivování, útočníci by mohli prostřednictvím backdooru instalovat další škodlivé moduly nebo krást data. Kaspersky Lab upozornila společnost NetSarang, poskytovatele tohoto softwaru, která následně okamžitě odstranila škodlivý kód a pro své zákazníky vydala aktualizaci.
ShadowPad je jedním z největších doposud známých útoků na dodavatelské řetězce. Pokud by nedošlo k jeho detekci a následnému záplatování softwaru, mohl potenciálně napadnout stovky organizací po celém světě.
V červenci 2017 oslovil Global Research and Analysis (GReAT) tým společnosti Kaspersky Lab jeden z jeho partnerů z oblasti finančnictví. Jeho bezpečnostní specialisté byli znepokojeni podezřelými požadavky DNS (domain name server). Ty pocházely ze systémů zabývajících se zpracováním finančních transakcí. Další analýza odhalila, že zdrojem těchto požadavků byl legální software pro správu serverů, který využívají stovky zákazníků z oboru finančních služeb, vzdělávání, telekomunikací, výroby, energetiky a dopravy. Nejvážnějším zjištěním byla skutečnost, že tento software neměl podle výrobce tyto požadavky vůbec zasílat.
Analýza Kaspersky Lab také ukázala, že podezřelé požadavky byly ve skutečnosti výsledkem aktivity škodlivého modulu ukrytého v nejnovější verzi legálního softwaru. Po instalaci infikované softwarové aktualizace byl modul připraven začít jednou za osm hodin vysílat DNS-dotazy na specifické domény (své C&C servery). V takovém případě by dotaz mohl obsahovat základní informace o systému oběti. Pokud by útočníci označili systém za „zajímavý“, příkazový server by odpověděl a aktivoval plnohodnotnou backdoor platformu. Ta by se následně v tichosti usadila uvnitř napadeného počítače. Finální fází by bylo spuštění plnohodnotného škodlivého kódu, k čemuž by vydali příkaz sami útočníci.
Ihned poté, co odborníci Kaspersky Lab zjistili tyto zranitelnosti, kontaktovali společnost NetSarang. Ta reagovala rychle a vydala aktualizovanou verzi softwaru neobsahující škodlivý kód.
Z údajů Kaspersky Lab vyplývá, že doposud byly tyto škodlivé moduly aktivovány v Hong Kongu. Nicméně v mnoha dalších firemních systémech na celém světě by mohly být nečinné a stále představovat riziko. Obzvláště, pokud uživatelé neprovedli aktualizaci daného softwaru.
V průběhu analýzy technik a nástrojů využitých útočníky přišli odborníci Kaspersky Lab se zjištěním, že jsou některé z nich velmi podobné těm, které dříve použila známá čínsky mluvící kyberšpionážní skupina Winnti APT v malwaru PlugX. Tyto informace však nestačí k tomu, aby se mezi současným útokem a zmíněnými aktéry dalo vytvořit jednoznačné spojení.
„ShadowPad je příkladem toho, jak nebezpečný a dalekosáhlý může být úspěšný útok na dodavatelské řetězce. Útok tak jednoznačně ilustruje nutnost implementace pokročilých bezpečnostních řešení velkými společnostmi. Ta zaručují monitoring aktivit v síti a detekují anomálie. Prostřednictvím těchto technologií lze zaznamenat zákeřnou aktivitu i v situaci, kdy důmyslní hackeři ukryjí malware do legálního softwaru,“ říká Igor Soumenkov, bezpečnostní expert v týmu Global Research and Analysis Team společnosti Kaspersky Lab.
Veškeré produkty Kaspersky Lab detekují malware ShadowPad jako „Backdoor.Win32.ShadowPad.a“.
Odborníci Kaspersky Lab doporučují okamžitou aktualizaci softwaru od společnosti NetSarang, z něhož byl odstraněn škodlivý modul. Dále by firmy také měly zkontrolovat své systémy, jestli nevykazují známky DNS požadavků zasílaných k neobvyklým doménám. Seznam domén příkazových serverů využívaných škodlivým modulem je k dispozici v příspěvku na blogu Securelist.com. Tam se můžete dozvědět i podrobnější technické informace vztahující se k tomuto backdooru.
O společnosti Kaspersky Lab
Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností a v roce 2017 slaví 20 let od svého založení. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb k ochraně podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.