سرویس آنتی ویروس eScan که به روز رسانی را از طریق HTTP ارائه می دهد توسط هکرها مورد حمله قرار گرفت و آلوده شد
هکرها از یک آسیب پذیری در یک سرویس آنتی ویروس برای توزیع بدافزار بین کاربران ناآگاه به مدت حیرت آور برای پنج سال سوء استفاده کردند. این حمله آنتی ویروس eScan را هدف قرار داد، شرکتی مستقر در هند، که بهروزرسانیها را از طریق HTTP ارائه میکرد، پروتکلی که به دلیل حساسیت به حملات سایبری که دادهها را در حین انتقال دستکاری یا به خطر میاندازد، شناخته شده است. محققان امنیتی Avast فاش کردند که عاملان، احتمالاً مرتبط با دولت کره شمالی، یک حمله پیچیده مرد میانی (MitM) را اجرا کردند. این تاکتیک شامل رهگیری بهروزرسانیهای قانونی از سرورهای eScan و جایگزینی آنها با فایلهای مخرب، و در نهایت نصب یک درب پشتی به نام GuptiMiner بود.
ماهیت پیچیده این حمله شامل زنجیره ای از عفونت ها بود. در ابتدا، برنامههای eScan با سیستم بهروزرسانی ارتباط برقرار میکردند و فرصتی را برای عوامل تهدید برای رهگیری و جایگزینی بستههای بهروزرسانی فراهم میکردند. روش دقیق رهگیری همچنان نامشخص است، اگرچه محققان حدس می زنند که شبکه های در معرض خطر ممکن است هدایت مجدد مخرب ترافیک را تسهیل کرده باشند. برای فرار از شناسایی، بدافزار از سرقت DLL استفاده کرد و از سرورهای سیستم نام دامنه سفارشی (DNS) برای اتصال به کانالهای تحت کنترل مهاجم استفاده کرد. تکرارهای بعدی حمله از پوشاندن آدرس IP برای مبهم کردن زیرساخت فرمان و کنترل (C&C) استفاده کرد.
علاوه بر این، برخی از انواع این بدافزار کد مخرب خود را در فایلهای تصویری پنهان میکردند و تشخیص را چالشبرانگیزتر میکردند. علاوه بر این، مهاجمان یک گواهینامه ریشه TLS سفارشی را برای برآورده کردن الزامات امضای دیجیتال برخی از سیستمها نصب کردند و از نصب موفقیتآمیز بدافزار اطمینان حاصل کردند. با کمال تعجب، در کنار درب پشتی، محموله شامل XMRig ، یک نرمافزار استخراج ارز دیجیتال منبع باز بود که سوالاتی را در مورد انگیزه مهاجمان ایجاد کرد.
عملیات GuptiMiner نقصهای امنیتی قابل توجهی را در شیوههای eScan نشان داد، از جمله فقدان HTTPS برای تحویل بهروزرسانی و عدم وجود امضای دیجیتال برای تأیید یکپارچگی بهروزرسانی. با وجود این کاستی ها، eScan به سوالات مربوط به طراحی فرآیند به روز رسانی آنها پاسخ نداد.
به کاربران آنتیویروس eScan توصیه میشود که پست Avast را برای اطلاعات در مورد عفونتهای احتمالی بررسی کنند، اگرچه به احتمال زیاد اکثر برنامههای آنتیویروس معتبر این تهدید را شناسایی میکنند. این حادثه بر اهمیت تدابیر امنیتی قوی در محافظت در برابر حملات سایبری پیچیده تاکید می کند.