Эксперты «Лаборатории Касперского» обнаружили, что в известном серверном программном обеспечении держалась программа-бэкдор (бэкдор — дефект метода, позволяющий получить несанкционированный доступ к данным либо удаленному управлению операционной порядком и компьютером в целом; согласно базисному определению, бэкдор встраивается лично разработчиком. — Прим. Банки.ру) ShadowPad, коию внедрили злоумышленники с целью кражи данных изо корпоративных сетей крупных сопровождений. Под угрозой оказались юзеры программного обеспечения NetSarang изо различных индустрий, многие изо них являются организациями изо списка Fortune 500. Будто подчеркивают в «Лаборатории Касперского», фирма незамедлительно сообщила о зловреде разработчику — NetSarang и он оперативно выслал из своего продукта вредоносный адрес и выпустил закрывающее уязвимость обновление.

Бэкдор ShadowPad был отыскан в ходе расследования подозрительной энергичности в корпоративной сети одной денежной организации. Специалисты этой фирмы обратились к экспертам «Лаборатории Касперского», обнаружив, что в порядку, обрабатывающей финансовые трансакции, замерзли появляться подозрительные DNS-запросы (DNS — domain name server. — Первый. «Лаборатории Касперского»; DNS-запрос — вопрос от клиента (или сервера) серверу. — Первый. Банки.ру). Расследование представить, что источником этих запросов ясно легитимное ПО для управления серверами, что используется сотнями компаний после всему миру. Однако похожие запросы были вовсе никак не типичны для этого После — именно этот факт и принудил аналитиков изучить программу внимательнее.

В результате эксперты «Лаборатории Касперского» выяснили, что недоверчивые запросы исходили от попрятанного внутри вредоносного модуля, некоторый связывался с командным центром злодеев каждые восемь часов. Данные запросы содержали базовую данные о системе компании-жертвы. В случае когда потенциальная жертва представляла ориентация для атакующих, с командного сервера действовал ответный запрос, активировавший вначале загруженную в систему программу-бэкдор, что, в свою очередь, могла подгружать и бросать другие вредоносные модули.

Эксперты «Лаборатории Касперского» увидели, что используемые злоумышленниками технической и инструменты очень похожи в те, что применялись в атаках китайскоговорящей группировки WinNTi. Однако приобретенной информации пока недостаточно, чтобы ввести четкую связь между этой кибергруппировкой и бэкдором в озагсенном ПО.

«На текущий начало бэкдор ShadowPad был активирован в Азиатско-Тихоокеанском регионе. Вместе с тем вот он может оставаться в безынициативном состоянии во многих порядках, особенно если компании никак не установили последнее обновление NetSarang и никак не имеют защитного решения, что может обнаружить и вычистить вредоносный код», — предостерегают разработчики антивирусов.

«ShadowPad — образчик того, насколько опасной и глубокой может быть атака в разработчиков программного обеспечения, коим доверяют пользователи во абсолютно всем мире. С большой вероятностью похожий сценарий будет повторяться снова и вновь. К счастью, компания NetSarang проворно отреагировала и выпустила жизненно необходимое обновление, отвратив сотни инцидентов кражи данных, — объясняет антивирусный эксперт «Лаборатории Касперского» Гоша Суменков. — Атака ShadowPad представить, что сегодня компании обязательно должны употреблять продвинутые защитные технологии, коие способны оперативно выявлять неправильную активность в Сети и детектировать и те зловреды, которые преступники спрятали в легальном ПО».

«Все решения «Лаборатории Касперского» распознают опасность как Backdoor.Win32.ShadowPad.a и удачно блокируют ее», — подчеркивается в релизе.