Il Global Research and Analysis Team (GreAT) di Kaspersky Lab ha ricevuto l’annuale premio “Péter Szőr” per la Technical Security Research per il suo lavoro di scoperta e analisi dell’operazione ShadowPad
Il Global Research and Analysis Team (GreAT) di Kaspersky Lab ha ricevuto l’annuale premio “Péter Szőr” per la Technical Security Research per il suo lavoro di scoperta e analisi dell’operazione ShadowPad, uno dei più significativi attacchi rivolti alle supply chain conosciuti sino ad ora. Il premio è stato consegnato all’evento Virus Bulletin 2018, che si è svolto dal 3 al 5 ottobre al Fairmont Queen Elizabeth Hotel di Montreal in Quebec, Canada.
La scoperta di ShadowPad
A luglio 2017, i ricercatori di Kaspersky Lab hanno scoperto ShadowPad, una backdoor nascosta all’interno di un software di gestione server utilizzato da centinaia di aziende in tutto il mondo. Il codice malevolo è stato inserito sfruttando gli ultimi aggiornamenti di questo software, che veniva utilizzato in vari settori, come servizi finanziari, istruzione, telecomunicazioni, produzione manifatturiera, energia e trasporti.
I ricercatori del GReAT di Kaspersky Lab hanno scoperto che, in seguito all’installazione di un aggiornamento software infetto, il modulo malevolo avrebbe iniziato ad inviare delle query DNS a domini specifici (il suo server di comando e controllo), secondo una frequenza di una volta ogni otto ore. La richiesta avrebbe avuto al suo interno informazioni di base sul sistema delle vittime. Quando gli attaccanti consideravano un sistema “interessante”, il server di comando rispondeva e attivava una piattaforma backdoor completa, in grado di insinuarsi, di nascosto, all’interno del computer attaccato. Dopo questo processo, dietro comando dei cybercriminali, la piattaforma di backdoor sarebbe stata in grado di scaricare ed eseguire un ulteriore codice malevolo. Si ritiene che l’autore delle minacce dietro l’attacco ShadowPad fosse di lingua cinese.
“Come hanno dimostrato chiaramente le storie di “NotPetya” e “CCleaner”, gli attacchi che si rivolgono alle supply chain possono rivelarsi un grosso problema. ShadowPad mette in luce anche il fatto che questi attacchi possono essere anche difficili da scovare e rimanere attivi per un tempo molto lungo”, ha dichiarato Martijn Grooten, editor di Virus Bulletin. “L’analisi fatta da Kaspersky Lab ha fornito sia una panoramica generale dell’attacco, sia dettagli molto tecnici, che si spera portino ad una maggiore consapevolezza su questa minaccia, in particolare, e sui problemi degli attacchi alla supply chain, in generale”.
“ShadowPad è solo un esempio di quanto possa essere pericoloso e ampio un attacco ad una supply chain. Se non fosse stato rilevato e corretto in modo così rapido, ShadowPad avrebbe potuto colpire migliaia di organizzazioni in tutto il mondo”, ha affermato Costin Raiu, Director del GReAT di Kaspersky Lab. “Ricevere il premio Péter Szőr all’evento Virus Bulletin è per noi un grande onore; siamo davvero riconoscenti, non solo per il premio in sé, ma anche per l’opportunità che ci viene data: poter continuare a proteggere il mondo dal cybercrime”.
