L'équipe GREaT de recherche et d'analyse de Kaspersky Lab, annonce avoir découvert un backdoor dans un logiciel de gestion de serveurs. Ce logiciel vendu par NetSarang est utilisé au sein de nombreuses et grandes entreprises à travers le monde.

Après quelques recherches approfondies, l'équipe a découvert qu'une fois activé, le backdoor donne accès aux cybercriminels aux données de l'entreprise.

En juillet dernier, un partenaire de Kaspersky Labs a fait appel à l'équipe GREaT afin de comprendre d'où venaient des requêtes DNS enregistrées par les systèmes.

Après quelques recherches, cela s'est confirmé : la dernière mise à jour du logiciel a été infectée par ce module qui commence alors en envoyer des requêtes DNS. 

Kaspersky Lab explique : "Si les cyber criminels considèrent que le système est « intéressant », le serveur de commande répond et active une plate-forme complète de backdoor qui se déploie silencieusement sur l’ordinateur ciblé. Ensuite, sur commande des attaquants, la plate-forme de backdoor peut télécharger et exécuter du code malveillant."

Une fois avertis, les équipes de NetSarang ont rapidement mis au point une nouvelle mise à jour afin d'éliminer la menace. 

Igor Soumenkov, chercheur en sécurité, GReAT, Kaspersky Lab conclue ainsi : « ShadowPad illustre la dangers que pourrait représenter une attaque à large échelle contre la chaine logistique. De par son ampleur et les données collectées, elle représente une véritable opportunité pour les criminels, laissant supposer qu’ils pourraient reproduire ce scenario encore et encore avec d’autres logiciels très populaires. Heureusement, NetSarang a réagi très rapidement à notre alerte et mis à disposition une nouvelle version propre du logiciel, ce qui a probablement empêché des centaines de vols de données contre ses clients. Cependant, cette affaire vient rappeler l’importance pour les grandes entreprises de s’équiper de solutions avancées capables de surveiller les activités réseau et de détecter des anomalies. C’est le meilleur moyen de repérer des activités malveillantes, et ce même si les attaquants utilisent des techniques suffisamment sophistiquées pour cacher leur malware dans des logiciels légitimes. »