NCR Corporation ha confermato a SC Media di aver trovato computer infettati da malware in un ambiente di laboratorio isolato non di produzione al di fuori degli Stati Uniti, ma afferma che i suoi clienti non sono mai stati a rischio di un'infezione secondaria.
La conferma è arrivata dopo che il CEO della società di sicurezza informatica Prevailion ha dichiarato in esclusiva a SC Media che un trojan aveva infettato il popolare sviluppatore di software per punti vendita e ATM e ha espresso la preoccupazione che ciò potesse potenzialmente rappresentare un rischio per la catena di approvvigionamento per i clienti.
Il CEO di Prevailion Karim Hijazi ha identificato il malware come Lethic, una vecchia minaccia botnet che risale all'incirca al 2008. Sebbene tradizionalmente è stato utilizzato per distribuire spam, ha funzionalità trojan complete tra cui accesso remoto, spostamento laterale e download di payload aggiuntivi. Sebbene Lethic non sia nuovo sulla scena, Hijazi ha notato che spesso tali malware vengono riconfezionati in modo che gli strumenti antivirus convenzionali non li catturino.
Hijazi ha affermato che Prevailion, che monitora le comunicazioni di comando e controllo dannose su Internet, è stato testimone di oltre 180 giorni di attività di beaconing C2 derivante da un indirizzo IP rintracciato a NCR ad Atlanta, sede della sede della società tecnologica.
"È in corso da un tempo incredibilmente lungo dal nostro punto di vista … e sembra che recentemente ci sia stato anche un aumento in termini di frequenza e cadenza", ha detto Hijazi, osservando che Prevailion ha contato circa 242.000 beacon C2 ricevuti dall'indirizzo IP di NCR nel corso dell'infezione.
"[I] t è costantemente passato a uno stato grave, dal nostro punto di vista, perché … più a lungo qualcosa ha tempo per persistere in un ambiente, più grave è in realtà, perché ha più tempo per fare danni e ha più porte che può aprirsi ", ha continuato Hijazi.
Tuttavia, NCR ha contestato alcuni aspetti dei risultati di Prevailion, affermando che "non abbiamo prove di un effettivo traffico di comando e controllo in uscita dalla nostra rete", in una dichiarazione ufficiale dell'azienda.
L'affermazione di NCR secondo cui l'infezione è avvenuta al di fuori degli Stati Uniti è anche contraria all'affermazione di Prevailion secondo cui l'attività dannosa è stata ricondotta a un indirizzo IP di NCR ad Atlanta. Ma il CISO di NCR Bob Varnadoe aveva una spiegazione per questo: "Non posso entrare nei dettagli di come funziona la nostra rete interna, ma … tutti gli indirizzi IP assegnati all'azienda sono registrati sotto il nome di NCR con l'indirizzo della nostra sede centrale", disse Varnadoe. "Quindi quello che potrebbe sembrare – dalle informazioni di registrazione – Atlanta, Georgia, è solo perché quello è l'indirizzo della nostra sede."
Nella sua dichiarazione, NCR ha affermato di prendere sul serio l'infezione e di "collaborare con la gestione dei rischi per la sicurezza informatica e gli esperti di rete per valutare" la situazione.
La dichiarazione continua: “Tutti i sistemi e le operazioni di NCR funzionano normalmente. Inoltre, non abbiamo alcuna indicazione che le nostre strutture di distribuzione della catena di fornitura o i nostri clienti siano stati influenzati. Questi computer non fanno parte delle nostre reti della catena di approvvigionamento. Inoltre, le nostre strutture di produzione e distribuzione, inclusi ma non limitati a POS e ATM, si trovano su reti separate con controlli di sicurezza completi, inclusa la protezione da malware ".
Ciò è significativo perché Hijazi aveva espresso la preoccupazione che il trojan potesse aver compromesso NCR in modo tale da diffondere malware ai clienti dell'azienda da 6,92 miliardi di dollari, forse attraverso aggiornamenti software POS o ATM con trojan.
"Qualsiasi organizzazione a cui possono essere collegati potrebbe anche essere influenzata, quindi questo è uno scenario contagioso", ha detto Hijazi prima della dichiarazione di NCR. “Quell'infezione potrebbe passare efficacemente da un'isola all'altra da loro a un'altra parte o viceversa – potrebbero averla contratta da altri. Non lo sappiamo davvero. La parte preoccupante di questo è che, ovviamente, qualsiasi organizzazione che condivide dati con qualcuno come NCR potrebbe correre il rischio che i dati vengano rubati tramite questi strumenti ".
Prevailion non aveva avvisato NCR dell'infezione, ma SC Media ha contattato l'azienda per rivelare il problema e richiedere commenti.
Varnadoe non ha confermato se i computer interessati fossero stati infettati da Lethic, il tipo di attività in cui era coinvolto il malware e quali tipi di dati avrebbero potuto essere accessibili attraverso l'ambiente di laboratorio compromesso. “Abbiamo ancora analisi in corso. Quello che abbiamo visto è stato il traffico delle richieste DNS. In nessun momento abbiamo effettivamente visto il traffico di comando e controllo ", ha detto.
Alla domanda di SC Media se il laboratorio non di produzione non è il tipo di ambiente che probabilmente coinvolgerebbe le informazioni sui clienti, Varnadoe ha risposto: "Esatto". Alla domanda se i dati relativi a progetti interni, lavoro di laboratorio o proprietà intellettuale potessero essere stati messi a rischio, Varnadoe ha detto: "Probabilmente devo tornare da te su questa conclusione che a questo punto". Quando è stato ulteriormente pressato, ha aggiunto: "Penso che dobbiamo fare più analisi, prima che mi senta a mio agio a commentare".
All'inizio di questo mese, Prevailion ha riferito pubblicamente di aver visto anche prove di una compromissione della rete e infezione da malware presso l'operatore di crociere Carnival per un periodo che va dal 2 febbraio al 6 giugno 2020.
Questa storia è stata modificata dalla versione originale per incorporare i commenti di NCR.
Il post NCR conferma il malware nell'ambiente di laboratorio, afferma che i client non a rischio sono apparsi per primi su SC Media .