Kaspersky a descoperit un nou virus care afecta servere folosite de companii mari din întreaga lume

- Adrian Ungureanu
241

Experții Kaspersky Lab au descoperit un backdoor implantat într-un software de management al serverelor folosit de sute de companii mari din întreaga lume. Atunci când este activat, backdoor-ul le permite infractorilor să descarce module malware suplimentare sau să fure date. Kaspersky Lab a alertat compania NetSarang, furnizorul programului de software afectat, a înlăturat cu succes codul malware și a pus la dispoziția utilizatorilor un update.

ShadowPad este unul dintre cele mai cunoscute instrumente de atac în lanț. Dacă nu ar fi fost detectat și eliminat rapid, ar fi putut ținti sute de organizații din întreaga lume.
În iulie 2017, echipa Kaspersky Lab Global Research and Analysis (GReAT) a fost abordată de către unul dintre parteneri- o instituție financiară. Specialiștii în securitate cibernetică din cadrul companiei respective erau îngrijorați din cauza unor cereri suspecte de DNS (domain name server) care își aveau originea întru-un sistem implicat în procesarea tranzacțiilor financiare.

Investigațiile ulterioare au scos la iveală faptul că sursa acestor cereri a fost un software de management de servere, creat de către o companie legitimă și folosit de sute de clienți din diverse industrii precum servicii financiare, educație, telecomunicații, producție, energie și transporturi. Cea mai îngrijorătoare descoperire a fost faptul că furnizorul nu prevăzuse ca software-ul să realizeze acest gen de cereri.

Mai departe, analiza realizată de Kaspersky Lab a scos la iveală faptul că cererile suspecte au fost, de fapt, rezultatul activității unor module malware ascunse în cea mai recentă versiune a software-ului legitim. După instalarea unui update infectat al software-ului, modulul malware trimitea cereri DNS către anumite domenii (respectiv către server-ul său de comandă și control) la un interval de opt ore.

Cererile conțineau informații generale despre sistemul folosit de victimă (numele utilizatorului, numele domeniului, numele host-ului). Dacă atacatorii considerau că sistemul era ”interesant”, server-ul de comandă răspundea și activa o platformă backdoor cu drepturi depline care se instala independent în interiorul computerelor atacate. După acest lucru, la comanda infractorilor, platforma backdoor putea să descarce și să lanseze mai departe alte coduri malware.

După această descoperire, cercetătorii Kaspersky Lab au contactat imediat compania NetSarang. Compania a reacționat imediat și a lansat o versiune actualizată a software-ului, fără codul malware respectiv.

Toate produsele Kaspersky Lab detectează și protejează utilizatorii împotriva malware-ului ShadowPad care, poate fi recunoscut ca “Backdoor.Win32.ShadowPad.a”.