Експерти з кібербезпеки компанії Volexity виявили масштабну кампанію китайського хакерського угруповання Evasive Panda, яка використовує вразливості в механізмах оновлення програмного забезпечення для розповсюдження шкідливого коду. Ця атака демонструє зростаючу витонченість кіберзлочинців та підкреслює важливість надійного захисту процесів оновлення ПЗ.
Механізм атаки: експлуатація незахищених оновлень
Хакери скомпрометували неназваного інтернет-провайдера, що дозволило їм втрутитися в процес автоматичних оновлень різноманітного програмного забезпечення. Зловмисники використовували вразливості в оновленнях, що здійснювалися через незахищений протокол HTTP без перевірки цифрових підписів. Це дозволило їм підмінювати легітимні оновлення на шкідливе програмне забезпечення.
DNS poisoning як ключовий елемент атаки
Для реалізації своєї схеми хакери застосували техніку DNS poisoning. Вони перехоплювали та модифікували DNS-запити жертв, підміняючи справжні IP-адреси на адреси своїх шкідливих серверів. Таким чином, замість легітимних оновлень, користувачі несвідомо завантажували та встановлювали malware, включаючи MACMA та POCOSTICK (також відомий як MGBot).
Масштаб та цілі атаки
Угруповання Evasive Panda, відоме також під назвами StormBamboo, Bronze Highland, Daggerfly та StormCloud, активно діє з 2012 року. Їхніми цілями є організації в материковому Китаї, Гонконзі, Макао, Нігерії та різних країнах Південно-Східної та Східної Азії. У цій кампанії хакери атакували користувачів як Windows, так і macOS, демонструючи широкий спектр своїх можливостей.
Приклад експлуатації: атака на 5KPlayer
Одним з конкретних прикладів атаки стало використання запитів програми 5KPlayer на оновлення компонента youtube-dl. Замість легітимного оновлення, користувачі отримували інсталятор з вбудованим бекдором, завантажений з сервера, контрольованого хакерами.
Наслідки атаки та додаткові вектори зараження
Після успішного проникнення в системи жертв, зловмисники встановлювали шкідливе розширення для браузера Google Chrome під назвою ReloadText. Це розширення дозволяло збирати та викрадати файли cookie та поштові дані користувачів, що становить серйозну загрозу конфіденційності та безпеці особистої інформації.
Масштаб загрози та реакція експертів
Дослідники з Volexity виявили, що атака була спрямована одночасно на кількох постачальників програмного забезпечення, які використовують незахищені процеси оновлення. Це вказує на системний характер проблеми та необхідність комплексного підходу до її вирішення. Експерти Volexity оперативно повідомили постраждалого провайдера та спільно з ним провели аудит ключових мережевих пристроїв. Після перезавантаження та відключення певних компонентів мережі, атака DNS poisoning була негайно припинена.
Ця кібератака підкреслює критичну важливість захисту процесів оновлення програмного забезпечення. Організаціям та розробникам ПЗ необхідно впроваджувати надійні механізми перевірки цифрових підписів, використовувати захищені протоколи передачі даних та регулярно проводити аудит безпеки своїх систем. Користувачам же рекомендується бути пильними, використовувати антивірусне ПЗ та завжди перевіряти джерело оновлень перед їх встановленням.
