Эксперты «Лаборатории Касперского» обнаружили, что в популярном серверном программном обеспечении содержалась программа-бэкдор (бэкдор — дефект алгоритма, позволяющий получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом; согласно базовому определению, бэкдор встраивается самим разработчиком. — Прим. Банки.ру) ShadowPad, которую внедрили злоумышленники с целью кражи данных из корпоративных сетей крупных компаний. Под угрозой оказались пользователи программного обеспечения NetSarang из различных индустрий, многие из них являются организациями из списка Fortune 500. Как подчеркивают в «Лаборатории Касперского», компания незамедлительно сообщила о зловреде разработчику — NetSarang и он оперативно удалил из своего продукта вредоносный код и выпустил закрывающее уязвимость обновление.
Бэкдор ShadowPad был найден в ходе расследования подозрительной активности в корпоративной сети одной финансовой организации. Специалисты этой компании обратились к экспертам «Лаборатории Касперского», обнаружив, что в системе, обрабатывающей финансовые трансакции, стали появляться подозрительные DNS-запросы (DNS — domain name server. — Прим. «Лаборатории Касперского»; DNS-запрос — запрос от клиента (или сервера) серверу. — Прим. Банки.ру). Расследование показало, что источником этих запросов стало легитимное ПО для управления серверами, которое используется сотнями компаний по всему миру. Однако подобные запросы были вовсе не типичны для этого ПО — именно этот факт и заставил аналитиков изучить программу внимательнее.
В результате эксперты «Лаборатории Касперского» выяснили, что подозрительные запросы исходили от спрятанного внутри вредоносного модуля, который связывался с командным центром злоумышленников каждые восемь часов. Эти запросы содержали базовую информацию о системе компании-жертвы. В случае если потенциальная жертва представляла интерес для атакующих, с командного сервера поступал ответный запрос, активировавший предварительно загруженную в систему программу-бэкдор, которая, в свою очередь, могла подгружать и запускать другие вредоносные модули.
Эксперты «Лаборатории Касперского» заметили, что используемые злоумышленниками техники и инструменты очень похожи на те, что применялись в атаках китайскоговорящей группировки WinNTi. Однако полученной информации пока недостаточно, чтобы установить четкую связь между этой кибергруппировкой и бэкдором в легальном ПО.
«На текущий момент бэкдор ShadowPad был активирован в Азиатско-Тихоокеанском регионе. Вместе с тем он может оставаться в неактивном состоянии во многих системах, особенно если компании не установили последнее обновление NetSarang и не имеют защитного решения, которое может обнаружить и вычистить вредоносный код», — предупреждают разработчики антивирусов.
«ShadowPad — пример того, насколько опасной и масштабной может быть атака на разработчиков программного обеспечения, которым доверяют пользователи во всем мире. С большой вероятностью подобный сценарий будет повторяться вновь и вновь. К счастью, компания NetSarang быстро отреагировала и выпустила жизненно необходимое обновление, предотвратив сотни инцидентов кражи данных, — комментирует антивирусный эксперт «Лаборатории Касперского» Игорь Суменков. — Атака ShadowPad показала, что сегодня компании обязательно должны использовать продвинутые защитные технологии, которые способны оперативно выявлять аномальную активность в Сети и детектировать даже те зловреды, которые злоумышленники спрятали в легальном ПО».
«Все решения «Лаборатории Касперского» распознают угрозу как Backdoor.Win32.ShadowPad.a и успешно блокируют ее», — подчеркивается в релизе.