Os especialistas da Kaspersky Lab descobriram um backdoor instalado num software de gestão de servidores usado por centenas de grandes empresas em todo o mundo.

Este backdoor permite aos hackers fazerem downloads de códigos maliciosos ou aceder a dados. A Kaspersky alertou a NetSarang, fornecedora do software, que removeu o código malicioso e notificou os seus clientes.

O ShadowPad é um dos mais conhecidos ataques a empresas, que caso não tivesse sido detetado tão rapidamente, poderia ter atingido milhares de organizações em todo o mundo.

No passado mês de julho, a equipa de investigadores da Kaspersky Lab’s Global Research and Analysis (GReAT) foi contactada por um dos seus parceiros – uma instituição financeira. A equipa de segurança desta organização estava preocupada com alguns pedidos suspeitos de DNS ( Domain Name Server) com origem num sistema que envolvia processos de transação financeira.

A investigação que se seguiu mostrou que a fonte destes pedidos era um serviço de gestão de software produzido por uma empresa legitima e utilizado por centenas de empresas ligadas à indústria financeira, educação, telecomunicações, manufatura, energia e transportes. A descoberta mais preocupante foi que o software não deveria agir dessa forma.

A Kaspersky descobriu também que os pedidos suspeitos eram gerados por um código malicioso dentro de uma versão recente do software legítimo. Após a instalação de uma atualização de software infectado, esse modelo começa a enviar questões DNS - queries para domínios específicos (comanda e controla o servidor) a cada 8h. O pedido contém informações básicas sobre o sistema da vítima. Se os atacantes considerassem que o sistema era “interessante”, o servidor responderia e ativaria a plataforma backdoor que, em silêncio, se instalaria dentro do computador afetado, o que permitiria o download e execução de códigos maliciosos.  

Após a descoberta, a Kaspersky Lab avisou a NetSarang. A empresa reagiu rapidamente lançando uma nova versão do software sem os códigos maliciosos.

De acordo com o Kasperky Lab Research, até agora, o código malicioso foi ativado em Hong Kong, mas pode estar instalado em muitos outros sistemas no mundo, especialmente se os utilizadores não tiverem instalado a nova versão do software afetado.

Ao analisar as técnicas utilizadas pelos atacantes, a equipa da Kaspersky Lab chegou à conclusão de que existem algumas semelhanças entre o PlugX malware variants utilizados pelo Winnti APT, um conhecido grupo chinês de cyberespionagem. No entanto, esta informação não é suficiente para estabelecer uma ligação entre ambos.

O ShadowPad é um exemplo de quão perigoso pode ser um ataque desta natureza. Os hackers têm a possibilidade de acederem a informação e a divulgarem através de um outro software amplamente utilizado. Felizmente, a NetSarang foi rápida e lançou um update. Este caso mostra que as grandes empresas devem contar com soluções avançadas capazes de monitorizar a atividade da rede e detetar anomalias. É através destas soluções que se pode identificar a atividade maliciosa, mesmo em casos em que os atacantes tenham sido sofisticados e colocado os códigos dentro de um software legítimo”, refere Igor Soumenkov, Especialista em Segurança do GReAT.

Os produtos da Kaspersky Lab detetam e protegem contra o malware ShadowPad como “Backdoor.Win32.ShadowPad.a”.

O Laboratório Kaspersky aconselha os utilizadores a fazerem o update imediato da última versão do NetSarang software, na qual o modelo malicioso já foi removido, aconselhando também a verificação dos sistemas DNS. Uma lista de servidores utilizados pelo código malicioso pode ser encontrada na securelist blogpost, bem como mais informação sobre o backdoor.

Classifique este item
(1 Vote)
Ler 1506 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Newsletter

Receba as notícias no seu e-mail

Top