Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně bank.
Odborníci ze společnosti Kaspersky Lab objevili backdoor v softwaru pro správu serverů využívaném stovkami velkých firem po celém světě. Pokud by došlo k jeho aktivování, útočníci by mohli prostřednictvím backdooru instalovat další škodlivé moduly nebo krást data. Společnost NetSarang, poskytovatel tohoto softwaru, již škodlivý kód odstranila a pro své zákazníky vydala aktualizaci.
ShadowPad je jedním z největších doposud známých útoků na dodavatelské řetězce. Pokud by nedošlo k jeho detekci a následnému záplatování softwaru, mohl potenciálně napadnout stovky organizací po celém světě.
V červenci 2017 oslovil Global Research and Analysis (GReAT) tým společnosti Kaspersky Lab jeden z jeho partnerů z oblasti finančnictví. Jeho bezpečnostní specialisté byli znepokojeni podezřelými požadavky DNS (domain name server). Ty pocházely ze systémů zabývajících se zpracováním finančních transakcí. Další analýza odhalila, že zdrojem těchto požadavků byl legální software pro správu serverů, který využívají stovky zákazníků z oboru finančních služeb, vzdělávání, telekomunikací, výroby, energetiky a dopravy. Nejvážnějším zjištěním byla skutečnost, že tento software neměl podle výrobce tyto požadavky vůbec zasílat.
Analýza dále ukázala, že podezřelé požadavky byly ve skutečnosti výsledkem aktivity škodlivého modulu ukrytého v nejnovější verzi legálního softwaru. Po instalaci infikované softwarové aktualizace byl modul připraven začít jednou za osm hodin vysílat DNS dotazy na specifické domény (své C&C servery). V takovém případě by dotaz mohl obsahovat základní informace o systému oběti. Pokud by útočníci označili systém za „zajímavý“, příkazový server by odpověděl a aktivoval backdoor jako celek.
Analýza ukazuje, že doposud byly tyto škodlivé moduly aktivovány v Hongkongu. Nicméně v mnoha dalších firemních systémech na celém světě by mohly být nečinné a stále představovat riziko.
V průběhu analýzy technik a nástrojů využitých útočníkyse zjistilo, že jsou některé z nich velmi podobné těm, které dříve použila známá čínsky mluvící kyberšpionážní skupina Winnti APT v malwaru PlugX. Tyto informace však nestačí k tomu, aby se mezi současným útokem a zmíněnými aktéry dalo vytvořit jednoznačné spojení.