דלת אחורית מפחידה התגלתה ביותר מ-100 בנקים ובמאות חברות ענק
על פי קספרסקי, "מדובר באחת מהמתקפות הידועות הגדולות ביותר על שרשרת האספקה ● אם המתקפה לא היתה מזוהה והתיקון לא היה מתבצע במהירות - היא הייתה עלולה לפגוע במאות ארגונים ברחבי העולם" ● הדלת האחורית הושתלה ב-NetSarang, תוכנה לניהול שרתים
האקרים החביאו דלת אחורית בתוכנת ShadowPad, המשמשת יותר מ-100 בנקים ומאות ארגוני ענק ברחבי העולם, כך לפי קספרסקי (Kaspersky Lab).
חוקרי ענקית האבטחה הרוסית חשפו דלת אחורית, שהושתלה בתוכנה לניהול שרתים, אשר משמשת מאות עסקים גדולים ברחבי העולם. כאשר היא מופעלת, הדלת האחורית מאפשרת לתוקפים להוריד מודולים זדוניים נוספים, או לגנוב נתונים. קספרסקי התריעה בפני NetSarang, ספקית התוכנה הפגועה, והיא הסירה ממנה את הנוזקה והפיצה עדכון תוכנה ללקוחותיה.
מדובר, קבעו החוקרים, "באחת מהמתקפות הידועות הגדולות ביותר על שרשרת האספקה. אם המתקפה לא היתה מזוהה והתיקון לא היה מתבצע במהירות – היא הייתה עלולה לפגוע במאות ארגונים ברחבי העולם".
בחודש שעבר גוף פיננסי פנה לצוות המחקר והניתוח הבינלאומי של קספרסקי (GreAT). מקצועני האבטחה של הארגון היו מודאגים לגבי בקשות DNS (ר"ת Domain Name Server) שהגיעו ממערכת הקשורה לעיבוד של פעולות פיננסיות.
חקירה נוספת העלתה כי מקור הבקשות היה תוכנת ניהול שרת, שפותחה על ידי חברה לגיטימית, ואשר משמשת מאות לקוחות בתעשיות שונות: שירותים פיננסים, חינוך, טלקום, ייצור, אנרגיה ותחבורה. הממצא המדאיג ביותר, ציינו החוקרים, היה בכך שהספק לא תכנן שהתוכנה תבצע את הבקשות הללו.
מידע ממערכת "מעניינת"
ניתוח נוסף שביצעו החוקרים לימד כי הבקשות החשודות הן תוצאה של נוזקה, שהוסתרה בתוך הגרסה האחרונה של התוכנה המוכרת. במהלך התקנת עדכון התוכנה הנגוע, הנוזקה מתחילה לשלוח שאילתות DNS לגבי דומיינים מסוימים (שרתי הפיקוד והשליטה שלו) בקצב של פעם אחת בכל שמונה שעות.
הבקשות מכילות מידע בסיסי אודות מערכת הקורבן (שם משתמש, שם דומיין, שם מארח). אם לתוקפים מגיע מידע ממערכת "מעניינת" עבורם, שרת הפיקוד יענה לשאילתות ויפעיל את פלטפורמת הדלת האחורית המלאה, שתפרוס את עצמה במחשב המותקף. לאחר מכן, על פי פקודה מההאקרים, פלטפורמת הדלת האחורית מסוגלת להוריד ולהפעיל נוזקה נוספת.
חוקרי קספרסקי יצרו קשר עם NetSarang. החברה הגיבה במהירות ושחררה גרסה מעודכנת של התוכנה ללא הנוזקה.
עד היום (ד'), הנוזקה הופעלה בהונג קונג, ציינו החוקרים, "אבל ייתכן והיא עדיין נותרה רדומה במערכות רבות אחרות ברחבי העולם, במיוחד אם המשתמש עדיין לא התקין את הגרסה המעודכנת".
"אין במידע זה כדי לבסס קשר מדויק לגורמים אלה"
במהלך ניתוח הטכניקות ששימשו את התוקפים, החוקרים הסיקו כי חלק מהן דומות מאוד לטכניקות ששימשו בעבר את PlugX ו-Winnti, קבוצות ריגול דוברות סינית. עם זאת, הם סייגו, "אין במידע זה כדי לבסס קשר מדויק לגורמים אלה".
"ShadowPad הוא דוגמה לעד כמה מסוכנת ורחבת היקף יכולה להפוך מתקפה מוצלחת על שרשרת אספקה", אמר איגור סומנקוב, מומחה אבטחה בצוות מחקר וניתוח בינלאומי, קספרסקי.
"לאור האפשרויות לחדירה לארגונים ויכולות איסוף המידע שהיא העניקה לתוקפים, סביר להניח שהיא תשוכפל פעם אחר פעם, עם רכיבי תוכנה נפוצים אחרים".
לדבריו, "למרבה המזל, NetSarang הגיבו במהירות להתרעה שלנו ושחררו עדכון תוכנה נקי. בכך הם מנעו מהלקוחות שלהם מאות התקפות לגניבת נתונים".
בכל מקרה, הוסיף סומנקוב, "אירוע זה מראה כי חברות גדולות צריכות להסתמך על פתרונות מתקדמים, המסוגלים לנטר פעילות ברשת ולזהות חריגות. זו הדרך בה אתה יכול לזהות התנהגות זדונית, אפילו אם התוקפים היו מתוחכמים מספיק כדי להסתיר את הקוד הזדוני בתוך תוכנה לגיטימית".
קספרסקי מייעצת למשתמשים לבצע באופן מיידי עדכון לגרסה האחרונה של NetSarang, ממנה הוסרה הנוזקה, ולסרוק את המערכות שלהם אחר כל סימן לשאילתות DNS המבוצעות לדומיינים חריגים. רשימת דומיינים המשמשים את שרת הפיקוד של הנוזקה ניתן למצוא בפוסט ב-Securelist, הכולל גם מידע טכני נוסף על הדלת האחורית.
תגובות
(0)