ShadowPad, una backdoor nascosta nel software di centinaia di grandi aziende

Naviga SWZ: Home Page » News
News del 21 Agosto 17 Autore: Stefano Fossati
Una backdoor nascosta in un software di server management mette seriamente a rischio i sistemi di centinaia di grandi aziende in tutto il mondo. Scoperta dagli esperti di Kaspersky Lab, la backdoor consente ai cybercriminali di scaricare altri moduli dannosi o rubare i dati. La società di sicurezza informatica ha avvisato NetSarang, fornitore del software interessato, che ha immediatamente rimosso il codice dannoso e ha rilasciato un aggiornamento per i clienti.

ShadowPad è uno dei più grandi attacchi supply-chain: se non fosse stato rilevato e non fosse stata rilasciata rapidamente una patch, avrebbe potuto colpire centinaia di aziende in tutto il mondo. La scoperta è avvenuto dopo che, lo scorso luglio, il Global Research and Analysis Team (GReAT) di Kaspersky Lab è stato contattato da una istituzione finanziaria sua cliente, i cui responsabili della sicurezza erano preoccupati per le richieste sospette di DNS (domain name server) provenienti da un sistema utilizzato per processare transazioni finanziarie. Di controlli è emerso che la fonte di queste richieste era il software di server management di una società legittima e utilizzato da centinaia di clienti in settori quali servizi finanziari, istruzione, telecomunicazioni, produzione, energia e trasporti. A rendere la circostanza più preoccupante era il fatto che il fornitore non desiderava che il software facesse queste richieste.

ShadowPad, una backdoor nascosta nel software di centinaia di grandi aziende - immagine 1

Ulteriori analisi da parte di Kaspersky Lab hanno mostrato che le richieste sospette erano effettivamente il risultato dell´attività di un modulo maligno nascosto all´interno di una versione recente del software, di per sé del tutto legittimo: a seguito dell´installazione di un aggiornamento software infetto, il modulo maligno avrebbe iniziato a inviare DNS queries a domini specifici (il suo server di comando e controllo) con una frequenza di una volta ogni otto ore, per ottenere informazioni di base relative al sistema delle vittime (nome utente, nome dominio, nome host). Quando gli aggressori ritenevano che il sistema fosse "interessante", il server di comando rispondeva e attivava una piattaforma backdoor completa in grado di insinuarsi “di nascosto” all´interno del computer attaccato. A quel punto, a seguito di un comando da parte dei criminali, la piattaforma backdoor sarebbe stata in grado di scaricare e eseguire ulteriore codice dannoso.

Finora, stando a quanto accertato dai ricercatori di Kaspersky Lab, il modulo maligno è stato attivato a Hong Kong, ma potrebbe essere in modalità “dormiente” in molti altri sistemi in tutto il mondo, soprattutto se gli utenti non hanno installato la versione aggiornata del software interessato. Analizzando le tecniche utilizzate dagli aggressori, gli esperti hanno rilevato che diverse similitudini con quelle utilizzate in precedenza da PlugX e Winnti, noti come gruppi di cyberespionaggio cinesi; non è tuttavia possibile, al momento, stabilire una connessione precisa con questi soggetti.

ShadowPad, una backdoor nascosta nel software di centinaia di grandi aziende - immagine 3

"ShadowPad è un esempio di quanto possa essere pericoloso e su vasta scala un attacco supply-chain di successo”, spiega Igor Soumenkov, esperto in sicurezza del Global Research and Analysis Team di Kaspersky Lab; “Data l’opportunità di raccogliere dati da parte degli attaccanti, molto probabilmente verrà riprodotto di nuovo con altri componenti software ampiamente utilizzati. Fortunatamente NetSarang è stata veloce a reagire alla nostra notifica e ha rilasciato un aggiornamento software pulito, impedendo centinaia di attacchi con furto di dati contro i propri clienti. Tuttavia, questo caso mostra che le grandi aziende dovrebbero poter contare su soluzioni di sicurezza avanzate in grado di monitorare l´attività della rete e individuare anomalie. Questo permette di individuare attività dannose anche se gli aggressori sono stati così sofisticati da nascondere il proprio malware all´interno di un software legittimo".

Kaspersky Lab consiglia agli utenti di aggiornare immediatamente l´ultima versione del software NetSarang da cui è stato rimosso il modulo dannoso e controllare i propri sistemi per verificare che non ci siano segni di DNS queries a domini insoliti. Un elenco dei domini utilizzati dal modulo è stato pubblicato nel Securelist blogpost, unitamente a ulteriori informazioni tecniche sulla backdoor.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE