ShadowPad este unul dintre cele mai cunoscute instrumente de atac în lanț. Dacă nu ar fi fost detectat și eliminat rapid, ar fi putut ținti sute de organizații din întreaga lume.
În iulie 2017, echipa Kaspersky Lab Global Research and Analysis (GReAT) a fost abordată de către unul dintre parteneri - o instituție financiară. Specialiștii în securitate cibiernetică din cadrul companiei respective erau îngrijorați din cauza unor cereri suspecte de DNS (domain name server) care își aveau originea întru-un sistem implicat în procesarea tranzacțiilor financiare. Investigațiile ulterioare au scos la iveală faptul că sursa acestor cereri a fost un software de management de servere, creat de către o companie legitimă și folosit de sute de clienți din diverse industrii precum servicii financiare, educație, telecomunicații, producție, energie și transporturi. Cea mai îngrijorătoare descoperire a fost faptul că furnizorul nu prevăzuse ca software-ul să realizeze acest gen de cereri.
Mai departe, analiza realizată de Kaspersky Lab a scos la iveală faptul că cererile suspecte au fost, de fapt, rezultatul activității unor module malware ascunse în cea mai recentă versiune a software-ului legitim. După instalarea unui update infectat al software-ului, modulul malware trimitea cereri DNS către anumite domenii (respectiv către server-ul său de comandă și control) la un interval de opt ore. Cererile conțineau informații generale despre sistemul folosit de victimă (numele utilizatorului, numele domeniului, numele host-ului). Dacă atacatorii considerau că sistemul era ”interesant”, server-ul de comandă răspundea și activa o platformă backdoor cu drepturi depline care se instala independent în interiorul computerelor atacate. După acest lucru, la comanda infractorilor, platforma backdoor putea să descarce și să lanseze mai departe alte coduri malware.
După această descoperire, cercetătorii Kaspersky Lab au contactat imediat compania NetSarang. Compania a reacționat imediat și a lansat o versiune actualizată a software-ului, fără codul malware respectiv.
Până în acest moment, conform cercetării Kaspersky Lab, modulul malware a fost activat în Hong Kong, dar ar putea fi prezent în stare latentă în multe alte sisteme din lume, în special dacă utilizatorii nu au instalată versiunea actualizată a software-ului afectat.
În timpul analizei asupra tehnicilor și procedurilor folosite de către atacatori, cercetătorii Kaspersky Lab au ajuns la concluzia că există anumite asemănări cu variantele malware-ului PlugX folosit de APT-ul Winnti, un cunoscut grup de spionaj cibernetic de limbă chineză. În orice caz, aceste detalii nu sunt suficiente pentru a stabili o conexiune clară cu acești protagoniști ai amenințării.
”ShadowPad este un exemplu care ne arată cât de periculoase și răspândite pot fi atacurile în lanț,” spune Igor Soumenkov, security expert, Global Research and Analysis Team la Kaspersky Lab. ”Ținând cont de oportunitățile de răspândire și de colectare de date pe care acest malware le oferă infractorilor, cel mai probabil va fi reprodus împreună cu alte componente software utilizate foarte des. Din fericire pentru ei, NetSarang a reacționat imediat la notificarea pe care le-am trimis-o și a lansat o versiune actualizată, prin această măsură prevenind, cel mai probabil, sute de atacuri și furturi de date la care erau expuși clienții companiei. Totuși, acest caz indică faptul că întreprinderile mari trebuie să folosească soluții de securitate avansate capabile să monitorizeze activitatea rețelei și să detecteze anomaliile. Cu ajutorul lor se poate identifica activitatea unui malware chiar și atunci când atacatorii folosesc tehnici sofisticate, prin care îl pot ascunde în interiorul unui program de software legitim.”
Toate produsele Kaspersky Lab detectează și protejează utilizatorii împotriva malware-ului ShadowPad care, poate fi recunoscut ca “Backdoor.Win32.ShadowPad.a”.
Kaspersky Lab îi sfătuiește pe utilizatori să actualizeze urgent software-ul NetSarang cu ultima versiune, din care a fost eliminat codul malware și să-și verifice sistemele pentru a observa dacă nu există cereri de DNS adresate unor domenii necunoscute. Lista domeniilor serverelor de comandă folosite de modulele malware pot fi găsite pe blog-ul Securelist, care include informații tehnice suplimentare despre acest backdoor.