Kaspersky Lab sventa l’attacco supply-chain ShadowPad, che sfruttava una backdoor nascosta in un software di server management molto diffuso di NetSarang.
Kaspersky Lab ha individuato e contribuito a bloccare un attacco supply-chain di grandi dimensioni, denominato ShadowPad. ShadowPad utilizza una backdoor nascosta in un software targato NetSarang, grazie alla quale i cyber criminali possono scaricare moduli dannosi o rubare dati sensibili. NetSarang, fornitore del software interessato, ha immediatamente rimosso il codice dannoso e rilasciato un aggiornamento per i clienti, anche se ShadowPad potrebbe essere ancora presente in modalità “dormiente” in alcuni sistemi.
Com’è andata – A luglio 2017, il Global Research and Analysis Team (GReAT) di Kaspersky Lab è stato contattato da uno dei suoi partner, un’istituzione finanziaria. Quest’ultima era preoccupata per le richieste sospette di DNS (domain name server) provenienti da un sistema utilizzato per processare transazioni finanziarie. Ulteriori indagini hanno rivelato che la fonte era un software di server management utilizzato da centinaia di clienti in tutto il mondo. Il fornitore, una società perfettamente legittima, non desiderava però che il software facesse queste richieste.
Kaspersky Lab ha dimostrato che le richieste sospette erano dovute ad un modulo maligno nascosto all’interno di una versione recente del software legittimo. A seguito dell’installazione di un aggiornamento infetto, il modulo maligno avrebbe iniziato a inviare DNS queries a domini specifici ad intervalli di otto ore. La richiesta riguardava informazioni di base relative al sistema delle vittime (nome utente, nome dominio, nome host). Quando gli aggressori ritenevano che il sistema fosse “interessante”, il server di comando attivava una piattaforma backdoor completa, capace di insinuarsi “di nascosto” all’interno del computer attaccato. La piattaforma backdoor sarebbe stata poi in grado di scaricare e eseguire ulteriore codice dannoso.
Dopo la scoperta, Kaspersky Lab ha immediatamente contattato NetSarang. L’azienda ha velocemente rilasciato una versione aggiornata del software senza il codice dannoso.
Chi è stato, e dove? – Finora, secondo Kaspersky Lab, il modulo maligno è stato attivato a Hong Kong, ma potrebbe essere “dormiente” in altri sistemi in tutto il mondo, soprattutto se gli utenti non hanno installato la versione aggiornata del software interessato.
Analizzando le tecniche utilizzate dagli aggressori, Kaspersky Lab ha concluso che alcune sono molto simili a quelle utilizzate in precedenza dai gruppi presumibilmente cinesi PlugX e Winnti. Queste informazioni, però, non bastano a stabilire una connessione precisa con questi attori.
Cosa fare: i consigli di Kaspersky Lab – Kaspersky Lab consiglia di aggiornare immediatamente l’ultima versione del software NetSarang e di controllare i propri sistemi per verificare che non ci siano DNS queries a domini insoliti. Un elenco dei domini utilizzati dal modulo dannoso si trova nel Securelist blogpost, con ulteriori informazioni tecniche sulla backdoor.
I prodotti Kaspersky Lab proteggono contro malware ShadowPad come “Backdoor.Win32.ShadowPad.a”.
Igor Soumenkov, esperto in sicurezza, Global Research and Analysis Team, Kaspersky Lab ShadowPad è un esempio di quanto possa essere pericoloso e su vasta scala un attacco supply-chain di successo. Data l’opportunità di raccogliere dati da parte degli attaccanti, molto probabilmente verrà riprodotto di nuovo con altri componenti software ampiamente utilizzati. Fortunatamente NetSarang è stato veloce a reagire alla nostra notifica e ha rilasciato un aggiornamento software pulito, impedendo centinaia di attacchi con furto di dati contro i propri clienti. Tuttavia, questo caso mostra che le grandi aziende dovrebbero poter contare su soluzioni di sicurezza avanzate in grado di monitorare l’attività della rete e individuare anomalie. Questo permette di individuare attività dannose anche se gli aggressori sono stati così sofisticati da nascondere il proprio malware all’interno di un software legittimo.
