Backdoor w oprogramowaniu wykorzystywanym przez duże firmy IT i nie tylko

16 sierpnia, 2017

Pracownicy Kaspersky Lab po raz kolejny pokazali, na co ich stać. Odkryli w jednym z modułów (nssock2.dll) oprogramowania NetSarang celowo zaprogramowaną lukę, która dawała napastnikom pełną kontrolę nad komputerami, terminalami i serwerami.

Backdoor o nazwie ShadowPad, niczym ransomware NotPetya odkryty na Ukrainie, trafił na komputery klientów oprogramowania NetSarang poprzez aktualizację – podobnie jak w przypadku aplikacji M.E.Doc wykorzystywanej przez ukraińskie firmy, szkodliwy update do programu NetSarang został dostarczony taką samą drogą – ktoś przeprowadził atak na serwery firmy NetSarang i podmienił podpisane cyfrowo pliki aktualizacyjne. Backdoor został odkryty po tym, jak eksperci przyglądali się podejrzanym żądaniom wyszukiwania nazw domenowych. Incydent został zgłoszony przez jednego z klientów Kaspersky Lab z branży finansowej.

170815 shadowpad 2
Biblioteka DLL zawierająca tylną furtkę w oprogramowaniu Xshell 5.

Backdoor umożliwiał wgląd w strukturę katalogów i plików zainfekowanych systemów przez 17 dni – od 17 lipca do 4 sierpnia. Oprogramowanie NetSarang tworzone przez programistów z USA oraz Korei Południowej dawało napastnikom pełną kontrolę: możliwe było uruchomienie dowolnego kodu dostarczonego z serwera przestępców. Backdoor, aby utrudnić swoje wykrycie, korzystał z wirtualnego systemu plików w rejestrze (VFS).

Produkty: NetSarang Xmanager Enterprise 5.0, Xmanager 5.0, Xshell 5.0, Xftp 5.0 i Xlpd 5.0 stały się częścią szkodliwego łańcucha dostaw zainfekowanego oprogramowania na komputery setek banków, firm energetycznych i producentów leków. Producent oprogramowania NetSarang potwierdza, że ich infrastruktura została zaatakowana i zrobiono wszystko, co było konieczne, aby zaradzić podobnym incydentom w przyszłości.

W ataku z wykorzystaniem backdoora ShadowPad podobnie jak z NotPetya użyto takiej samej taktyki – przejęcia kontroli nad mechanizmem aktualizacji oprogramowania.

Producent zestawu narzędzi NetSarang na zgłoszenie pracowników Kaspersky Lab wydał aktualizację mającą na celu zapobiegać podobnym atakom.

  • Oficjalny komunikat producenta NetSarang oraz procedura aktualizacji: https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
  • Analiza na blogu Kaspersky Lab: https://securelist.com/shadowpad-in-corporate-networks/81432/

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]