Virus deaktivuje oblíbený antivirus, který je tu od roku 1993, a vytváří uživateli pod nosem zadní vrátka

Globální dodavatelský řetězec antiviru eScan byl napaden. Závadná aktualizace umožňovala útočníkům na dálku ovládat počítač a deaktivovat ochranu.

Lukáš Altman (Mobify.cz), generováno umělou inteligencí

Infrastruktura aktualizací antivirového softwaru eScan, vyvíjeného indickou společností MicroWorld Technologies, byla dle informací redakce Mobify napadena a distribuovala závadnou aktualizaci, která umožňovala útok na uživatele. Společnost sice reagovala rychle, přesto je stále možné, že někteří uživatelé nemuseli aktualizaci přijmout, nebo provedli pouze částečný upgrade, což mohlo otevřít dveře zadním vrátkům a instalaci malwaru.

Útok je zacílený na celý řetězec dodavetele

Jak informoval SCWorlds, analytici z Morphisec Threat Labs zjistili, že útočníci využili trojskou variantu 32bitového spustitelného souboru eScan, která sloužila k nasazení stahovacího programu a 64bitového malwaru k otevření zadních vrátek. Ten byl navržený a uzpůsobený tak, aby:

• Deaktivoval ochranu antiviru eScan
• Měnil soubory hostitele systému Windows
• Upravoval registr Windows pro zabránění automatických oprav
• Využíval plánované úlohy defragmentace k perzistenci
• Otevíral možnost vzdáleného ovládání napadeného zařízení

Tento útok spadá do kategorie tzv. supply chain attacks. Jedná se o kybernetický útok na dodavatelský řetězec, který cílí na slabá místa u dodavatelů, aby poškodil celou organizaci. Může se týkat jakéhokoli odvětví, od financí a ropného průmyslu až po vládu, a může zasáhnout software i hardware, vysvětluje Wikipedia. V tomto případě to je eScan.

Dopady pro uživatele a organizace mohou být fatální

Pro uživatele domácích počítačů a firemní IT systémy znamenala kompromitace riziko:

• Ztráty integrity dat
• Průniku malware do dalších aplikací
• Možnosti vzdáleného sledování a manipulace systému

Varujeme proto, že i když je nyní problém zřejmě už vyřešený, každý, kdo používá starší verzi eScan nebo měl třeba dočasně deaktivovaný antivirus, by měl provést hloubkový scan systému, zkontrolovat naplánované úlohy Windows a ověřit integritu registrů. Organizace by pak měly:

• Kontaktovat eScan pro identifikaci škodlivých souborů
• Zablokovat známé domény příkazového a kontrolního serveru
• Zrušit důvěru v certifikát kompromitovaného kódu

Firma působí na trhu už od roku 1993

Antivirus eScan existuje od roku 1993 a patří mezi ty důvěryhodnější antiviry na trhu. Napadení aktualizační infrastruktury však ukazuje, že žádný software není úplně imunní vůči takovýmto útokům. Hackeři se při podobných útocích spoléhají na to, že uživatelé mají povolené automatické aktualizace, ale nevěnují jim kolikrát dostatečnou pozornost.

Za redakci Mobify si stojíme za tím, že tento případ je dobrou připomínkou pro všechny uživatele, aby pravidelně aktualizovali antivirový software, používali dodatečné bezpečnostní nástroje jako sandboxing a prováděli pravidelnou kontrolu registrů a naplánovaných úloh ve Windows. Dále doporučujeme provést tyto kroky:

• Aktualizujte eScan na nejnovější verzi – výrobce už distribuuje opravenou aktualizaci
• Spusťte kompletní hloubkový scan počítače – neomezujte se jen na rychlé kontroly
• Zkontrolujte registr Windows a naplánované úlohy – hledejte neobvyklé položky nebo změny v systémových klíčích
• Zvažte dodatečný antivirový nebo antimalwarový nástroj – ten může zachytit skrytá zadní vrátka

Podle našich odhadů by v České republice mohlo být ohroženo několik tisíc systémů, kde uživatelé starších verzí antiviru nevěnovali pozornost aktualizacím. Proto si dávejte pozor, ať nejste mezi nimi.