ShadowPad: una backdoor nascosta in un software utilizzato da centinaia di grandi aziende di tutto il mondo

redazione

ShadowPad è uno dei più grandi attacchi supply-chain. Se non fosse stato rilevato e non fosse stata trovata una patch in modo così rapido, avrebbe potuto colpire centinaia di aziende in tutto il mondo.

A luglio 2017, il Global Research and Analysis Team (GReAT) di Kaspersky Lab è stato contattato da uno dei suoi partner, un’istituzione finanziaria. Gli specialisti della sicurezza dell’organizzazione erano preoccupati per le richieste sospette di DNS (domain name server) provenienti da un sistema utilizzato per processare transazioni finanziarie. Ulteriori indagini hanno dimostrato che la fonte di queste richieste era il software di server management di una società legittima e utilizzato da centinaia di clienti in settori quali servizi finanziari, istruzione, telecomunicazioni, produzione, energia e trasporti. La scoperta più preoccupante è il fatto che il fornitore non desiderava che il software facesse queste richieste.

Ulteriori analisi da parte di Kaspersky Lab hanno mostrato che le richieste sospette erano effettivamente il risultato dell’attività di un modulo maligno nascosto all’interno di una versione recente del software legittimo. A seguito dell’installazione di un aggiornamento software infetto, il modulo maligno avrebbe iniziato a inviare DNS queries a domini specifici (il suo server di comando e controllo) ad una frequenza di una volta ogni otto ore. La richiesta riguardava informazioni di base relative al sistema delle vittime (nome utente, nome dominio, nome host). Quando gli aggressori ritenevano che il sistema fosse “interessante”, il server di comando rispondeva e attivava una piattaforma backdoor completa in grado di insinuarsi “di nascosto” all’interno del computer attaccato. Dopo di che, a seguito di un comando da parte degli attaccanti, la piattaforma backdoor sarebbe in grado di scaricare e eseguire ulteriore codice dannoso.

Dopo la scoperta, i ricercatori di Kaspersky Lab hanno immediatamente contattato NetSarang. L’azienda ha reagito velocemente e ha rilasciato una versione aggiornata del software senza il codice dannoso.

Finora, secondo la ricerca di Kaspersky Lab, il modulo maligno è stato attivato a Hong Kong, ma potrebbe essere in modalità “dormiente” in molti altri sistemi in tutto il mondo, soprattutto se gli utenti non hanno installato la versione aggiornata del software interessato.

Analizzando le tecniche utilizzate dagli aggressori, i ricercatori di Kaspersky Lab hanno concluso che alcune di esse sono molto simili a quelle utilizzate in precedenza dai gruppi PlugX e Winnti, noti come gruppi di cyberespionage cinesi. Queste informazioni, però, non bastano a stabilire una connessione precisa con questi attori.

“ShadowPad è un esempio di quanto possa essere pericoloso e su vasta scala un attacco supply-chain di successo. Data l’opportunità di raccogliere dati da parte degli attaccanti, molto probabilmente verrà riprodotto di nuovo con altri componenti software ampiamente utilizzati. Fortunatamente NetSarang è stato veloce a reagire alla nostra notifica e ha rilasciato un aggiornamento software pulito, impedendo centinaia di attacchi con furto di dati contro i propri clienti. Tuttavia, questo caso mostra che le grandi aziende dovrebbero poter contare su soluzioni di sicurezza avanzate in grado di monitorare l’attività della rete e individuare anomalie. Questo permette di individuare attività dannose anche se gli aggressori sono stati così sofisticati da nascondere il proprio malware all’interno di un software legittimo”, ha dichiarato Igor Soumenkov, esperto in sicurezza, Global Research and Analysis Team, Kaspersky Lab.

Tutti i prodotti Kaspersky Lab rilevano e proteggono contro malware ShadowPad come “Backdoor.Win32.ShadowPad.a”.

Kaspersky Lab consiglia agli utenti di aggiornare immediatamente l’ultima versione del software NetSarang da cui è stato rimosso il modulo dannoso e controllare i propri sistemi per verificare che non ci siano segni di DNS queries a domini insoliti. Un elenco dei domini utilizzati dal modulo dannoso può essere trovato nel Securelist blogpost, che include anche ulteriori informazioni tecniche sulla backdoor.

Informazioni su K