ShadowPad - szkodliwy kod ukryty w oprogramowaniu wielu firm na świecie
ShadowPad to jeden z największych znanych ataków na łańcuchy dostaw. Gdyby zagrożenie nie zostało tak szybko wykryte, a szkodliwy kod nie zostałby usunięty z zaatakowanej aplikacji, mogłoby dojść do poważnych cyberincydentów w wielu firmach na świecie.
W lipcu 2017 r. z Globalnym Zespołem ds. Badań i Analiz Kaspersky Lab (GReAT) skontaktował się jeden z partnerów firmy - organizacja finansowa. Eksperci ds. bezpieczeństwa z tej firmy natknęli się na podejrzane żądania DNS pochodzące z systemu zaangażowanego w przetwarzanie transakcji finansowych. Dalsze dochodzenie ujawniło, że źródłem tych żądań było rozwiązanie zarządzające serwerami dostarczane przez legalną firmę, stosowane przez setki klientów z takich branż jak finanse, edukacja, produkcja, telekomunikacja, energia czy transport. Najbardziej niepokojące było to, że producent tego oprogramowania nie wyposażył go w funkcję, która mogłaby wysyłać takie żądania.
Dalsza analiza przeprowadzona przez ekspertów z Kaspersky Lab ujawniła, że podejrzane żądania były wynikiem aktywności szkodliwego modułu ukrytego w najnowszej wersji omawianego legalnego oprogramowania. Po instalacji zainfekowanej aktualizacji narzędzia szkodliwy moduł wysyłał co osiem godzin żądania DNS do określonych domen prowadzących do serwerów wykorzystywanych przez cyberprzestępców do kontrolowania ataku. Żądania zawierały podstawowe informacje o systemie ofiary, takie jak nazwa użytkownika, domeny i maszyny. Jeżeli atakujący uznali dany system za „interesujący", serwer odpowiadał i aktywował w pełni funkcjonalny szkodliwy kod, który ukradkowo instalował się w systemie. Następnie, po otrzymaniu odpowiedniego polecenia od atakujących, szkodliwy program mógł pobierać i uruchamiać dalsze narzędzia.
Po dokonaniu powyższych odkryć eksperci z Kaspersky Lab natychmiast skontaktowali się z firmą NetSarang, która zareagowała niezwłocznie i opublikowała uaktualnioną wersję swojego oprogramowania, już bez szkodliwego kodu.
Według wyników badania Kaspersky Lab sygnały świadczące o aktywacji omawianego szkodliwego programu zostały zarejestrowane jedynie w Hongkongu, jednak narzędzie to może pozostawać w uśpieniu na wielu systemach na całym świecie, jeżeli użytkownicy nie zainstalowali najnowszego uaktualnienia opublikowanego przez firmę NetSarang.
Podczas analizy technik wykorzystanych przez cyberprzestępców badacze z Kaspersky Lab doszli do wniosku, że pewne mechanizmy są bardzo podobne do tych stosowanych wcześniej przez chińskojęzyczne grupy cyberszpiegowskie PlugX oraz Winnti. Należy podkreślić, że podobieństwa te nie jest wystarczające, by określić dokładne powiązania między tymi grupami a omawianym atakiem.
Kaspersky Lab zaleca wszystkim użytkownikom oprogramowania firmy NetSarang jak najszybsze zainstalowanie opublikowanego uaktualnienia, które usuwa szkodliwy kod z tego rozwiązania.