Hackers εκμεταλλεύτηκαν μια υπηρεσία antivirus για πέντε χρόνια προκειμένου να μολύνουν τους τελικούς χρήστες με κακόβουλο λογισμικό. Η επίθεση λειτούργησε επειδή η υπηρεσία παρέδιδε ενημερώσεις μέσω HTTP, ένα πρωτόκολλο ευάλωτο σε επιθέσεις που αλλοιώνουν ή παραποιούν τα δεδομένα καθώς ταξιδεύουν μέσω του Διαδικτύου.
Οι άγνωστοι χάκερς, οι οποίοι ενδέχεται να έχουν δεσμούς με την κυβέρνηση της Βόρειας Κορέας, τα κατάφεραν πραγματοποιώντας μια επίθεση man-in-the-middle (MiitM) που αντικατέστησε τη γνήσια ενημέρωση με ένα αρχείο που εγκαθιστούσε αντί αυτής μια προηγμένη κερκόπορτα, δήλωσαν σήμερα ερευνητές της εταιρείας ασφαλείας Avast.
Η eScan, μια υπηρεσία AV με έδρα την Ινδία, παρέχει ενημερώσεις μέσω HTTP τουλάχιστον από το 2019, ανέφεραν οι ερευνητές της Avast. Αυτό το πρωτόκολλο αποτελούσε μια πολύτιμη ευκαιρία για την εγκατάσταση του κακόβουλου λογισμικού, το οποίο εντοπίζεται στους κύκλους ασφαλείας με την ονομασία GuptiMiner.
«Αυτή η εξελιγμένη επιχείρηση εκτελούσε επιθέσεις MitM με στόχο έναν μηχανισμό ενημέρωσης του προμηθευτή antivirus eScan», έγραψαν οι ερευνητές της Avast Jan Rubín και Milánek. «Αποκαλύψαμε την ευπάθεια ασφαλείας τόσο στην eScan όσο και στην India CERT και λάβαμε επιβεβαίωση στις 2023-07-31 από την eScan ότι το πρόβλημα διορθώθηκε και επιλύθηκε επιτυχώς».
Η σύνθετη αλυσίδα μόλυνσης ξεκίνησε όταν οι εφαρμογές eScan συνδέθηκαν με το σύστημα ενημέρωσης eScan.
Στη συνέχεια, οι απειλητικοί φορείς πραγματοποίησαν μια επίθεση MitM που τους επέτρεψε να υποκλέψουν το πακέτο που έστειλε ο διακομιστής ενημερώσεων και να το αντικαταστήσουν με ένα παραποιημένο που περιείχε κώδικα για την εγκατάσταση του GuptiMiner. Οι ερευνητές της Avast δεν γνωρίζουν ακόμα πώς ακριβώς οι επιτιθέμενοι μπόρεσαν να πραγματοποιήσουν την υποκλοπή. Υποψιάζονται ότι τα στοχευμένα δίκτυα μπορεί να έχουν ήδη παραβιαστεί με κάποιο τρόπο για να δρομολογηθεί η κυκλοφορία σε έναν κακόβουλο ενδιάμεσο.
Για να μειωθούν οι πιθανότητες εντοπισμού, το αρχείο μόλυνσης χρησιμοποίησε DLL hijacking, μια τεχνική που αντικαθιστά τα νόμιμα αρχεία βιβλιοθηκών δυναμικής σύνδεσης που χρησιμοποιούνται από τις περισσότερες εφαρμογές της Microsoft με κακόβουλα διαμορφωμένα αρχεία που χρησιμοποιούν το ίδιο όνομα αρχείου. Για πρόσθετη μυστικότητα, η αλυσίδα μόλυνσης βασίστηκε επίσης σε έναν προσαρμοσμένο διακομιστή συστήματος ονομάτων τομέα (DNS) που της επέτρεπε να χρησιμοποιεί νόμιμα ονόματα τομέα κατά τη σύνδεση με ελεγχόμενα από τον επιτιθέμενο κανάλια.
Πέρυσι, οι επιτιθέμενοι εγκατέλειψαν την τεχνική DNS και την αντικατέστησαν με μια άλλη τεχνική απόκρυψης, γνωστή ως IP address masking.
Αναλυτικά : ArsTechnica
Εμφάνιση 1-3 από 3
-
24-04-24, 11:06 Μόλυνση χρηστών antivirus, που έκανε update μέσω HTTP #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.114
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
24-04-24, 16:36 Απάντηση: Μόλυνση χρηστών antivirus, που έκανε update μέσω HTTP #2
Epic fail.
-
25-04-24, 00:17 Απάντηση: Μόλυνση χρηστών antivirus, που έκανε update μέσω HTTP #3
Κορυφαία ποιότητα. Σου πουλάει ασφάλεια και ξεχνάει τα βασικά.
Bookmarks