Kaspersky Lab descubre puerta trasera en software utilizado por cientos de grandes empresas alrededor del mundo

Kaspersky Lab descubre puerta trasera en software utilizado por cientos de grandes empresas alrededor del mundo
Le facilita a los atacantes acceso a máquinas de administración de la red, servidores, etc.Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina

El ataque fue bautizado como ShadowPad.

Los expertos de Kaspersky Lab han descubierto una puerta trasera plantada en un software para el control de servidores que utilizan cientos de grandes empresas de todo el mundo.

Cuando se activa, esta puerta trasera permite a los atacantes descargar más módulos maliciosos o robar datos. Kaspersky Lab ha alertado a NetSarang, el proveedor del software afectado, el cual ha eliminado rápidamente el código malicioso y emitido una actualización para sus clientes.

ShadowPad es uno de los mayores ataques conocidos de cadena de suministro. Si no hubiera sido detectado y enmendado tan rápidamente, podría haberse dirigido a cientos de organizaciones en todo el mundo.

En julio de 2017, el equipo de Investigación y Análisis Global (GReAT) de Kaspersky Lab fue contactado por uno de sus socios, una institución financiera. Los especialistas en seguridad de la organización estaban preocupados por unas solicitudes sospechosas de DNS (servidor de nombres de dominio) originadas en un sistema que intervenía en el proceso de transacciones financieras.

Investigaciones adicionales mostraron que la fuente de estas solicitudes era un software de control de servidores producido por una compañía legítima y utilizado por cientos de clientes en industrias como las de servicios financieros, educación, telecomunicaciones, manufactura, energía y transporte.

El hallazgo más preocupante era el hecho de que el proveedor no tenía intenciones de que el software realizara estas peticiones.

Además, el análisis de Kaspersky Lab mostró que las solicitudes sospechosas eran en realidad el resultado de la actividad de un módulo malicioso oculto dentro de una versión reciente del software legítimo.

Después de la instalación de una actualización de software infectada, el módulo malicioso comenzaría a enviar peticiones de DNS a dominios específicos (su servidor de mando y control) con una frecuencia de una vez cada ocho horas.

La solicitud contendría información básica sobre el sistema de la víctima. Si los atacantes consideraban que el sistema era “interesante”, el servidor de mando respondería y activaría una plataforma de puerta trasera completa que se desplegaría silenciosamente dentro de la computadora atacada.

Después de eso, a pedido de los atacantes, la plataforma de puerta trasera sería capaz de descargar y ejecutar código malicioso adicional.

Tras el descubrimiento, los investigadores inmediatamente contactaron a NetSarang. La empresa reaccionó rápidamente y emitió una versión actualizada del software sin el código malicioso.

Hasta ahora, de acuerdo con la investigación, el módulo malicioso se ha activado en Hong Kongmientras que el software troyanizado ha sido detectado en varios países de América Latina, incluyendo Brasil, Chile, Colombia, México y Perú.

Sin embargo, el modulo malicioso podría estar latente en muchos otros sistemas en todo el mundo, especialmente si los usuarios no han instalado la versión actualizada del software afectado.

Según Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina, “este ataque traspasa los mecanismos de seguridad, lo que le facilita a los atacantes acceso a máquinas de administración de la red, servidores, etc”.

“Los atacantes llegan a ser intrusos indetectables ya que con las mismas herramientas legitimas de administración del cliente troyanizado, pueden llegar a tener el control de sistemas críticos como servidores, estaciones de trabajo, archivos, etc. y extraer información, robar contraseñas, base de datos o simplemente espiar la actividad de sus víctimas”, añadió.

Te puede interesar  Reseña de amenazas durante 2016 por Kaspersky Lab

Es importante resaltar que hoy en día, una compañía de cualquier sector puede ser víctima de un ataque avanzado simplemente por usar un software comúnmente utilizado a nivel mundial. Esto hace que países de Latinoamérica, de una forma automática, lleguen a estar también en lista de objetivos potenciales de atacantes que operaran desde o fuera de la región”, concluyó Bestuzhev.

Al analizar las herramientas, técnicas y procedimientos utilizados por los atacantes, los investigadores de Kaspersky Lab llegaron a la conclusión de que existen algunas similitudes que apuntan a las variantes del malware PlugX utilizadas por el Winnti APT, un conocido grupo de ciberespionaje de habla china. Sin embargo, esta información no es suficiente para establecer una conexión precisa con estos agentes.

ShadowPad es un ejemplo de lo peligroso y extenso que puede ser un ataque exitoso en la cadena de suministro. Con las oportunidades de alcance y recopilación de datos que da a los atacantes, lo más probable es que se reproduzca una y otra vez con algún otro componente de software ampliamente utilizado”, dijo Igor Soumenkov, experto en seguridad, Equipo de Investigación y Análisis Global, Kaspersky Lab.

“Por suerte, NetSarang fue rápido al reaccionar a nuestra notificación y emitió una actualización de software limpia, lo que muy probablemente evitó cientos de ataques con robo de datos a sus clientes. Sin embargo, este caso muestra que las grandes empresas deben confiar en soluciones avanzadas capaces de vigilar la actividad de la red y detectar anomalías”, agregó.

“Es aquí donde usted puede detectar la actividad maliciosa, incluso si los atacantes fueran lo suficientemente avanzados como para ocultar su malware dentro de un software legítimo”, añadió.

Todos los productos de Kaspersky Lab detectan y protegen contra el malware ShadowPad como “Backdoor.Win32.ShadowPad.a”.

Kaspersky Lab recomienda a los usuarios actualizarse inmediatamente a la versión más reciente del software NetSarang, del cual se ha eliminado el módulo malicioso, y comprobar si en sus sistemas hay peticiones de DNS a dominios no habituales.

En el blog se encuentra una lista de los dominios del servidor de mando utilizados por el módulo malicioso. Esta lista también incluye información técnica adicional sobre la puerta trasera.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados


Unisys refuerza la estrategia de análisis de datos en América

La compañía tiene la intención de triplicar su equipo de científicos de datos en la región hasta finales de 2017.

Cerrar