Los analistas de Kaspersky Lab han descubierto un backdoor en un programa de gestión de servidores utilizado por cientos de grandes empresas de todo el mundo. Cuando se activa, permite a los ciberatacantes descargar componentes maliciosos o robar información. Kaspersky Lab ha alertado a NetSarang, el fabricante del software afectado, que rápidamente ha procedido a eliminar el código malicioso y ha distribuido entre sus clientes una actualización.
ShadowPad es uno de los ataques más conocidos a cadenas de logística o de suministro. De no haber sido detectado y reparado con rapidez, podría haber afectado a cientos de empresas en todo el mundo. En julio de 2017, el grupo mundial de análisis e investigación (Global Research and Analysis Team – GreAT) de Kaspersky Lab, fue contactado por uno de sus partners, una entidad financiera. Los especialistas de la organización sospechaban de las peticiones DNS (domain name server) originadas en un sistema involucrado en el procesamiento de transacciones financieras.
Investigaciones posteriores mostraron que la fuente de esas peticiones era un software de gestión de servidores desarrollado por una conocida empresa, y utilizado por cientos de clientes en sectores como el financiero, educación, telecomunicaciones, producción, energía y transporte. Lo más preocupante fue el hecho de que el fabricante del programa no había previsto que el programa llevará a cabo ese tipo de peticiones.
Análisis realizados por Kaspersky Lab mostraron que las peticiones sospechosas eran el resultado de la actividad de un código malicioso, oculto en la versión más reciente del software legítimo. Después de instalar la actualización del programa infectado, el componente malicioso empezaba a enviar peticiones DNS a dominios concretos (su servidor de comando y control), con una frecuencia de una vez cada ocho horas. La petición contenía información básica sobre el sistema víctima. Si los ciberdelincuentes consideraban el sistema como algo “interesante”, el servidor de comando respondería y activaría la puerta trasera completa de una plataforma que se desplegaría de forma silenciosa dentro del ordenador atacado. Después, ante una simple instrucción de los atacantes, el back door se abriría y permitiría descargar y ejecutar nuevos códigos maliciosos.
Tras este descubrimiento, los analistas de Kaspersky Lab se pusieron inmediatamente en contacto con NetSarang. La compañía supo reaccionar con rapidez y procedió a distribuir una versión actualizada libre del código malicioso.
Hasta el momento, y según la investigación de Kaspersky Lab, este componente se ha visto activo en varios países de la región de Asia Pacífico, pero podría estar inactivo en muchos otros sistemas por todo el mundo, especialmente si los usuarios no han instalado la actualización del programa en cuestión.
Analizando las técnicas utilizadas, los analistas de Kaspersky Lab han llegado a la conclusión de que estamos en una situación muy parecida a las prácticas utilizadas previamente por los grupos PlugX y WinNTi, unos grupos de ciberespionaje de lengua china muy conocidos. Esta información, sin embargo, no permite crear una conexión concluyente con estos actores.
Kaspersky Lab recuerda a todos los usuarios que deben actualizar inmediatamente su programa NetSarang a la última versión, ya libre del componente mal intencionado, y comprobar sus sistemas en búsqueda de señales de peticiones DNS realizadas a dominios poco frecuentes. Una lista con los comandos de servidores de dominios utilizados por el componente malintencionado está disponible en el blogpost Securelist, incluye también información técnica adicional sobre la puerta trasera.