Kaspersky descobre malware de ciberespionagem em software legítimo
Experts da Kaspersky Lab descobriram um backdoor em um software de gerenciamento de servidor usado por centenas de grandes empresas em todo o mundo. Esse recurso permite a hackers baixarem novos módulos maliciosos ou capturar dados.
A Kaspersky alertou a NetSarang, fornecedora do software, que removeu o código malicioso e lançou uma atualização.
O ShadowPad é um dos maiores ataques de cadeia de fornecedores conhecidos. “Esse tipo de operação usa empresas fornecedoras para atingir uma organização mais bem protegida, como um banco”, explica Fabio Assolini, analista sênior de malware da KL no Brasil.
Software legítimo
Em julho de 2017, a equipe de pesquisa e análise global (GReAT) da Kaspersky foi abordada por um dos seus parceiros – uma instituição financeira. A equipe de segurança estava preocupada com requisições de DNS suspeitos (servidor de nomes de domínio) em um sistema envolvido no processamento de transações financeiras. Outras investigações mostraram que a fonte era o software de gerenciamento, produzido por uma empresa legítima e usado por centenas de clientes em setores como serviços financeiros, educação, telecomunicações, fabricação, energia e transporte. A descoberta mais preocupante foi que o software não deveria agir assim. “O truque aqui é usar um aplicativo que é considerado seguro (whitelist) pelos produtos de segurança”, explica Assolini.
A Kaspersky descobriu também que os pedidos suspeitos eram gerados por um módulo malicioso dentro de uma versão recente do software legítimo. Após a instalação de uma atualização de software infectado, esse módulo começa a enviar consultas de DNS para domínios específicos (servidor de comando e controle) a cada 8h. O pedido contém informações básicas sobre o sistema da vítima. Se os atacantes considerassem que o sistema era “interessante”, o servidor de comando responderia e ativaria uma porta (backdoor) no computador atacado.
Após a descoberta, a KL avisou a NetSarang. A empresa reagiu rapidamente e lançou um update do software.
Até agora, o módulo malicioso foi ativado em vários países da Ásia, mas pode estar dormindo em muitos sistemas em todo o mundo. “Inclusive, detectamos empresas no Brasil com essa versão maliciosa”, afirma Assolini.
Ao analisar as técnicas utilizadas pelos atacantes, o GReAT chegou à conclusão de que alguns deles são muito semelhantes aos usados anteriormente pelos grupos de ciberespionagem de fala chinesa PlugX e WinNTi. Esta informação, no entanto, não é suficiente para estabelecer uma conexão precisa com esses atores.
De acordo com Dmitry Bestuzhev, diretor do GReAT na América Latina, este ataque burla os mecanismos de segurança, o que torna mais fácil o acesso à administração da rede. “Os atacantes se tornam intrusos indetectáveis”, disse.
“O ShadowPad é um exemplo de quão perigoso e de grande escala pode ser um ataque bem sucedido na cadeia de suprimentos. Dadas as oportunidades de alcance e coleta de dados que dá aos atacantes, provavelmente será reproduzido novamente com algum outro componente de software amplamente utilizado. Felizmente, a NetSarang foi rápida e lançou um update. Este caso mostra que as grandes empresas devem contar com soluções avançadas capazes de monitorar a atividade da rede e detectar anomalias.”, disse Igor Soumenkov, especialista em segurança do GReAT.
Os produtos da Kaspersky Lab detectam e protegem contra o malware ShadowPad como “Backdoor.Win32.ShadowPad.a”
Fonte: Clique aqui
Essa descoberta da equipe da Kaspersky reforça mais uma vez a necessidade de uma ferramenta da segurança de ponta, como as soluções Corporativas da Kaspersky. Ameaças especializadas não são detectadas por antivírus gratuitos nem por soluções mais simples, sendo necessário uma solução completa, atualizada e bem gerenciava para fazer frente ao nível de ameaça a que as empresas estão expostas, muitas vezes sem se darem conta.
A Projeta Soluções é parceira da Kaspersky e comercializa toda sua linha de produtos, avaliando a ferramenta correta para proteção de cada ambiente, serviço ou empresa.