Software de gestão de servidores alvo de ciberataque

No passado mês de julho, a equipa de investigadores da Kaspersky Lab’s Global Research and Analysis (GReAT) foi contactada por um dos seus Parceiros – uma instituição financeira. A equipa de segurança desta organização estava preocupada com alguns pedidos suspeitos de DNS ( Domain Name Server) com origem num sistema que envolvia processos de transação financeira.

A investigação que se seguiu mostrou que a fonte destes pedidos era um serviço de gestão de software produzido por uma empresa legítima e utilizado por centenas de empresas ligadas à indústria financeira, educação, telecomunicações, manufatura, energia e transportes. A descoberta mais preocupante foi que o software não deveria agir dessa forma.

A Kaspersky Lab descobriu também que os pedidos suspeitos eram gerados por um código malicioso dentro de uma versão recente do software legítimo. Após a instalação de uma atualização de software infetada, esse modelo começa a enviar questões DNS - queries para domínios específicos (comanda e controla o servidor) a cada 8h. O pedido contém informações básicas sobre o sistema da vítima. Se os atacantes considerassem que o sistema era “interessante”, o servidor responderia e ativaria a plataforma backdoor que, em silêncio, se instalaria dentro do computador afetado, o que permitiria o download e execução de códigos maliciosos.
 
Após a descoberta, a Kaspersky Lab avisou a NetSarang. A empresa reagiu imediatamente, lançando uma nova versão do software sem os códigos maliciosos.
De acordo com o Kasperky Lab Research, até agora, o código malicioso foi ativado em Hong Kong, mas pode estar instalado em muitos outros sistemas no mundo, especialmente se os utilizadores não tiverem instalado a nova versão do software afetado.

Ao analisar as técnicas utilizadas pelos atacantes, a equipa da Kaspersky Lab chegou à conclusão de que existem algumas semelhanças entre o PlugX malware variants utilizados pelo Winnti APT, um conhecido grupo chinês de ciberespionagem. No entanto, esta informação não é suficiente para estabelecer uma ligação entre ambos.

“O ShadowPad é um exemplo de quão perigoso pode ser um ataque desta natureza. Os hackers têm a possibilidade de acederem a informação e a divulgarem através de um outro software amplamente utilizado. Felizmente, a NetSarang foi rápida e lançou um update. Este caso mostra que as grandes empresas devem contar com soluções avançadas capazes de monitorizar a atividade da rede e detetar anomalias. É através destas soluções que se pode identificar a atividade maliciosa, mesmo em casos em que os atacantes tenham sido sofisticados e colocado os códigos dentro de um software legítimo”, refere Igor Soumenkov, especialista em segurança do GReAT.