«Лаборатория Касперского» обнаружила в популярном серверном ПО «лаз» для злоумышленников

Среда, 16 августа 2017 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Эксперты «Лаборатории Касперского» обнаружили, что в популярном серверном программном обеспечении содержалась программа-бэкдор (бэкдор — дефект алгоритма, позволяющий получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом; согласно базовому определению, бэкдор встраивается самим разработчиком. — Прим. Банки.ру) ShadowPad, которую внедрили злоумышленники с целью кражи данных из корпоративных сетей крупных компаний. Под угрозой оказались пользователи программного обеспечения NetSarang из различных индустрий, многие из них являются организациями из списка Fortune 500. Как подчеркивают в «Лаборатории Касперского», компания незамедлительно сообщила о зловреде разработчику — NetSarang, и он оперативно удалил из своего продукта вредоносный код и выпустил закрывающее уязвимость обновление.

Бэкдор ShadowPad был найден в ходе расследования подозрительной активности в корпоративной сети одной финансовой организации. Специалисты этой компании обратились к экспертам «Лаборатории Касперского», обнаружив, что в системе, обрабатывающей финансовые трансакции, стали появляться подозрительные DNS-запросы (DNS — domain name server. — Прим. «Лаборатории Касперского»; DNS-запрос — запрос от клиента (или сервера) серверу. — Прим. Банки.ру). Расследование показало, что источником этих запросов стало легитимное ПО для управления серверами, которое используется сотнями компаний по всему миру. Однако подобные запросы были вовсе не типичны для этого ПО — именно этот факт и заставил аналитиков изучить программу внимательнее.

В результате эксперты «Лаборатории Касперского» выяснили, что подозрительные запросы исходили от спрятанного внутри вредоносного модуля, который связывался с командным центром злоумышленников каждые восемь часов. Эти запросы содержали базовую информацию о системе компании-жертвы. В случае если потенциальная жертва представляла интерес для атакующих, с командного сервера поступал ответный запрос, активировавший предварительно загруженную в систему программу-бэкдор, которая, в свою очередь, могла подгружать и запускать другие вредоносные модули.

Эксперты «Лаборатории Касперского» заметили, что используемые злоумышленниками техники и инструменты очень похожи на те, что применялись в атаках китайскоговорящей группировки WinNTi. Однако полученной информации пока недостаточно, чтобы установить четкую связь между этой кибергруппировкой и бэкдором в легальном ПО.

«На текущий момент бэкдор ShadowPad был активирован в Азиатско-Тихоокеанского регионе. Вместе с тем он может оставаться в неактивном состоянии во многих системах, особенно если компании не установили последнее обновление NetSarang и не имеют защитного решения, которое может обнаружить и вычистить вредоносный код», — предупреждают разработчики антивирусов.

«ShadowPad — пример того, насколько опасной и масштабной может быть атака на разработчиков программного обеспечения, которым доверяют пользователи во всем мире. С большой вероятностью подобный сценарий будет повторяться вновь и вновь. К счастью, компания NetSarang быстро отреагировала и выпустила жизненно необходимое обновление, предотвратив сотни инцидентов кражи данных, — комментирует антивирусный эксперт «Лаборатории Касперского» Игорь Суменков. — Атака ShadowPad показала, что сегодня компании обязательно должны использовать продвинутые защитные технологии, которые способны оперативно выявлять аномальную активность в Сети и детектировать даже те зловреды, которые злоумышленники спрятали в легальном ПО».


«Все решения «Лаборатории Касперского» распознают угрозу как Backdoor.Win32.ShadowPad.a и успешно блокируют ее», — подчеркивается в релизе.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 344
Рубрика: Банковские
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Rating@Mail.ru