Logisztikai cégek százai menekültek meg

forrás: Prím Online, 2017. szeptember 1. 17:20

A Kaspersky Lab szakértői egy szerverkezelő szoftverbe ágyazott hátsókaput fedeztek fel, amelyet több száz nagyvállalat használ világszerte. 

Aktiválás után a hátsókapu lehetővé teszi a támadók számára, hogy további rosszindulatú modulokat töltsenek le vagy, hogy adatokat lopjanak. A Kaspersky Lab értesítette a fertőzött szoftver viszonteladóját, a NetSarang céget, akik azonnal eltávolították a rosszindulatú kódot és egy új frissítést adtak ki ügyfeleik számára. 

 

A ShadowPad az egyik legnagyobb ismert ellátásilánc támadás. Ha nem vették volna észre és nem javították volna ki ilyen gyorsan, több száz szervezetet fertőzött volna meg világszerte. 

 

2017 júliusában a Kaspersky Lab Global Research and Analysis Team (GReAT) részlegét felkereste egyik partnere, egy pénzügyi intézet. A szervezet biztonsági szakértői gyanús DNS-eket (domain name server) találtak a pénzügyi utalásokért felelős rendszerükben. Ezeket egy szerverkezelő szoftverhez vezették vissza, amelyet több száz ügyfél használ pénzügyi szolgáltatásokhoz, az oktatásban, a telekommunikációban, a gyári- és energiaiparban, valamint a szállítmányozásban. A legaggasztóbb az volt, hogy a szoftver forgalmazója nem tudott erről. 

 

A Kaspersky Lab elemzése kimutatta, hogy a gyanús DNS-ek valójában egy rosszindulatú modulnak írhatók fel, amelyet a szoftver legújabb verziójába rejtettek. Egy fertőzött frissítés telepítését követően a rosszindulatú modul kapcsolatba lép a vezérszerverével és nyolcóránként küld DNS lekérdezéseket. A lekérések az áldozatul esett rendszer alap információit tartalmazza. Ha a támadók "érdekesnek" találták a rendszert, a vezérszerver válaszol és egy hátsókapun keresztül aktivál egy platformot, amely titokban telepíti magát a megtámadott számítógépre. Azután a támadók parancsára a platform képes további rosszindulatú kódok letöltésére és indítására. 

 

A felfedezést követően a Kaspersky Lab kutatói azonnal kapcsolatba léptek a NetSarang céggel, amely gyorsan reagált, eltávolította a rosszindulatú kódot a szoftverből és kiadott egy frissített verziót. 

 

 

A Kaspersky Lab kutatása szerint eddig a rosszindulatú modult, csak Hong Kong-ban aktiválták, de jelen lehet sok más rendszerben is világszerte, különösen ha a felhasználók még nem telepítették a frissített verziót. 

 

A támadók által használt eszközök és technikák elemzése közben a Kaspersky Lab kutatói arra a következtetésre jutottak, hogy a modul hasonlóságokat mutat a PlugX vírus variánsaival, amelyeket egy ismert kínai nyelvű kiberkém csoport, a Winnti APT használ. Habár ez az információ önmagában nem elég ahhoz, hogy a támadást ezekhez az elkövetőkhöz kössék. 

 

"A ShadowPad jó példa arra, hogy milyen veszélyes lehet egy sikeres ellátásilánc támadás. Mivel kiváló adatgyűjtési lehetőséget ad a támadóknak, több, mint valószínű, hogy újabb hasonló támadások is lesznek más széles körben használt szoftverek megfertőzése által. Szerencsére a NetSarang gyorsan reagált és egy tiszta szoftverfrissítést adott ki, így valószínűleg több száz támadást előzött meg. Ez az eset azt mutatja, hogy a nagyvállalatok olyan biztonsági megoldásokra kell, hogy támaszkodjanak, amelyek folyamatosan felügyelik a hálózati tevékenységeket és felismerik a rendellenességeket. Itt lehet tetten érni a fertőzéseket még akkor is, ha a támadók szofisztikált módszerekkel a vírust egy szoftverbe rejtik" - mondta Igor Soumenkov, a Kaspersky Lab GReAT csapatának biztonsági szakértője. 

 

A NetSarang nyilatkozata  

"A kibertámadások elhárítása érdekében a NetSarang különböző lépéseket tett, hogy megakadályozza a kiberbűnözőket termékei megfertőzésében és rosszindulatú használatában. Sajnos a 2017. július 18-án kiadott összes termékünk egy hátsókaput tartalmazott. Ügyfeleink biztonsága a fő prioritásunk és a mi felelősségünk. Az a tény, hogy rosszindulatú csoportok kereskedelmi forgalomban lévő szoftvereket használnak haszonszerzés céljából aggodalomra ad okot és a NetSarang és más szoftvercégek nagyon komolyan veszik ezt a veszélyt. A NetSarang elkötelezetten védi felhasználóit és mindent meg fog tenni azért, hogy fertőzött termék soha ne jusson az ügyfél kezébe. A NetSarang folyamatosan javítani fogja biztonságosságát nem csak azért, hogy elhárítsa a rosszindulatú csoportok támadásait, hanem hogy visszanyerje hűséges felhasználói bizalmát." 

 

A Kaspersky Lab összes terméke felismeri és védelmet nyújt a ShadowPad vírussal (Backdoor.Win32.ShadowPad.a) szemben. 

 

A Kaspersky Lab azt tanácsolja a felhasználóknak, hogy azonnal töltsék le a NetSarang szoftver legújabb verzióját, amelyből eltávolították a rosszindulatú kódot. A rosszindulatú modul által használt vezérszerverek listája megtalálható a Securelist blogposztjában, amelyben további technikai információkat olvashatnak a vírusról. 

Biztonság ROVAT TOVÁBBI HÍREI

Álhírek és kiberpropaganda: így használják (ki) a közösségi médiát

Az „álhírek” kifejezés hallatán az embereknek általában a közösségi oldalakon megjelenő bejegyzések jutnak eszébe, amelyek hihetetlen és valószínűtlen történeteket tartalmaznak a legkülönfélébb témákról: a Föld valódi formájától kezdve egészen a rák eltitkolt ellenszeréig. 

2017. szeptember 26. 10:52

Biztonságtudatosság újratöltve

Az IT biztonság témája megkerülhetetlenül fontos, hiszen a kibertámadások ma már egész nemzeteket, cégeket, de a mindennapi felhasználót is naponta érintő veszélyforrások. Az infokommunikációs eszközök ma már behálózzák munkahelyeinket, háztartásainkat, gyakorlatilag egész életünket.

2017. szeptember 25. 13:20

Fokozódó veszély a brutális mennyiségű adatforgalom

Ma naponta 60 százalékkal több digitális adatot hozunk létre, mint tíz évvel ezelőtt egy teljes év alatt, ráadásul mindezt több mint negyvenháromszor gyorsabban tudjuk megtenni. 

2017. szeptember 25. 12:13

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Késésben vagy? - Akkor gyorsan regisztrálj!

2017. szeptember 19. 19:45

Együttműködés a biztonságos jövőért

2017. szeptember 6. 09:21

Elsőként került magyar cég a nemzetközi HR elitbe

2017. augusztus 4. 13:40

Júniusi vírusriport az ESET-től

2017. július 25. 17:21
cloudappsportal.com