ShadowPad - szkodliwy kod ukryty w oprogramowaniu użytkowanym przez firmy na całym świecie

ShadowPad to jeden z największych znanych ataków na łańcuchy dostaw. Gdyby zagrożenie nie zostało tak szybko wykryte, a szkodliwy kod nie zostałby usunięty z zaatakowanej aplikacji, mogłoby dojść do poważnych cyberincydentów w wielu firmach na świecie. 

W lipcu 2017 r. z Globalnym Zespołem ds. Badań i Analiz Kaspersky Lab (GReAT) skontaktował się jeden z partnerów firmy - organizacja finansowa. Eksperci ds. bezpieczeństwa z tej firmy natknęli się na podejrzane żądania DNS pochodzące z systemu zaangażowanego w przetwarzanie transakcji finansowych. Dalsze dochodzenie ujawniło, że źródłem tych żądań było rozwiązanie zarządzające serwerami dostarczane przez legalną firmę, stosowane przez setki klientów z takich branż jak finanse, edukacja, produkcja, telekomunikacja, energia czy transport. Najbardziej niepokojące było to, że producent tego oprogramowania nie wyposażył go w funkcję, która mogłaby wysyłać takie żądania. 

Dalsza analiza ujawniła, że podejrzane żądania były wynikiem aktywności szkodliwego modułu ukrytego w najnowszej wersji omawianego legalnego oprogramowania. Po instalacji zainfekowanej aktualizacji narzędzia szkodliwy moduł wysyłał co osiem godzin żądania DNS do określonych domen prowadzących do serwerów wykorzystywanych przez cyberprzestępców do kontrolowania ataku. Żądania zawierały podstawowe informacje o systemie ofiary, takie jak nazwa użytkownika, domeny i maszyny. Jeżeli atakujący uznali dany system za „interesujący”, serwer odpowiadał i aktywował w pełni funkcjonalny szkodliwy kod, który ukradkowo instalował się w systemie. Następnie, po otrzymaniu odpowiedniego polecenia od atakujących, szkodliwy program mógł pobierać i uruchamiać dalsze narzędzia.

Po dokonaniu powyższych odkryć eksperci natychmiast skontaktowali się z firmą NetSarang, która zareagowała niezwłocznie i opublikowała uaktualnioną wersję swojego oprogramowania, już bez szkodliwego kodu. 

Według wyników badania, sygnały świadczące o aktywacji omawianego szkodliwego programu zostały zarejestrowane jedynie w Hongkongu, jednak narzędzie to może pozostawać w uśpieniu na wielu systemach na całym świecie, jeżeli użytkownicy nie zainstalowali najnowszego uaktualnienia opublikowanego przez firmę NetSarang. 

Podczas analizy technik wykorzystanych przez cyberprzestępców badacze doszli do wniosku, że pewne mechanizmy są bardzo podobne do tych stosowanych wcześniej przez chińskojęzyczne grupy cyberszpiegowskie PlugX oraz Winnti. Należy podkreślić, że podobieństwa te nie są wystarczające, by określić dokładne powiązania między tymi grupami a omawianym atakiem. 

"ShadowPad to przykład bardzo niebezpiecznego, zakrojonego na szeroką skalę ataku na łańcuchy dostaw. Biorąc pod uwagę możliwości dotarcia do poufnych danych dużych firm, metoda ta najprawdopodobniej będzie wielokrotnie odtwarzana przez innych cyberprzestępców z użyciem różnego popularnego oprogramowania użytkowanego przez przedsiębiorstwa. Na szczęście firma NetSarang zareagowała błyskawicznie i opublikowała niezainfekowane uaktualnienie swojego oprogramowania, co najprawdopodobniej zapobiegnie setkom incydentów kradzieży danych korporacyjnych. Omawiany atak pokazuje, że duże firmy powinny rozważyć wdrożenie zaawansowanych rozwiązań bezpieczeństwa potrafiących monitorować aktywność sieciową i identyfikować wszelkie anomalie. Takie mechanizmy pozwalają na wychwycenie szkodliwych działań, nawet gdy atakujący dysponują zaawansowanymi technikami ukrywania swoich modułów w legalnym oprogramowaniu" - powiedział Igor Sołmenkow, ekspert ds. cyberbezpieczeństwa z Kaspersky Lab.

Kaspersky Lab zaleca wszystkim użytkownikom oprogramowania firmy NetSarang jak najszybsze zainstalowanie opublikowanego uaktualnienia, które usuwa szkodliwy kod z tego rozwiązania. Ponadto firmy powinny poszukać w swoich systemach oznak żądań DNS wysyłanych do nietypowych domen.