Μια ομάδα μυστηριωδών χάκερ πραγματοποίησε μια έξυπνη επίθεση αλυσίδας εφοδιασμού εναντίον ιδιωτικών εταιρειών και κυβερνητικών υπηρεσιών του Βιετνάμ, εισάγοντας malware μέσα σε μια επίσημη εργαλειοθήκη κυβερνητικού software.
Η επίθεση, που ανακαλύφθηκε από την εταιρεία ασφαλείας ESET και περιγράφεται λεπτομερώς σε μια έκθεση με τίτλο “Operation SignSight”, στοχεύει στην αρχή πιστοποίησης της κυβέρνησης του Βιετνάμ (VGCA), τον κυβερνητικό οργανισμό που εκδίδει ψηφιακά πιστοποιητικά που μπορούν να χρησιμοποιηθούν για την ηλεκτρονική υπογραφή επίσημων εγγράφων.
Κάθε βιετναμέζος πολίτης, ιδιωτική εταιρεία, ακόμη και άλλος κυβερνητικός οργανισμός που θέλει να υποβάλει αρχεία στην κυβέρνηση του Βιετνάμ πρέπει να υπογράψει τα έγγραφα του με ψηφιακό πιστοποιητικό συμβατό με την VGCA.
Η VGCA δεν εκδίδει μόνο αυτά τα ψηφιακά πιστοποιητικά, αλλά παρέχει επίσης έτοιμα και φιλικά προς το χρήστη “client apps” που οι πολίτες, οι ιδιωτικές εταιρείες και οι κυβερνητικοί λειτουργοί μπορούν να εγκαταστήσουν στους υπολογιστές τους και να αυτοματοποιήσουν τη διαδικασία υπογραφής ενός εγγράφου.
Ωστόσο, η ESET λέει ότι μέσα στην χρονιά, οι hackers εισέβαλαν στον ιστότοπο της αρχής πιστοποίησης, που βρίσκεται στη διεύθυνση ca.gov.vn, και εισήγαγαν malware μέσα σε δύο από τα client apps VGCA που προσφέρονται για λήψη στον ιστότοπο.
Τα δύο αρχεία ήταν client apps 32-bit (gca01-client-v2-x32-8.3.msi) και 64-bit (gca01-client-v2-x64-8.3.msi) για χρήστες Windows.
Η ESET λέει ότι από τις 23 Ιουλίου έως τις 5 Αυγούστου, φέτος, τα δύο αρχεία περιείχαν ένα trojan backdoor με το όνομα PhantomNet, επίσης γνωστό ως Smanager.
Το malware δεν ήταν πολύ περίπλοκο, αλλά ήταν απλώς ένα wireframe για πιο ισχυρά plugins, ανέφεραν οι ερευνητές.
Τα γνωστά plugins περιελάμβαναν τη δυνατότητα ανάκτησης ρυθμίσεων proxy προκειμένου να παρακάμψουν τα εταιρικά firewalls και τη δυνατότητα λήψης και εκτέλεσης άλλων (κακόβουλων) εφαρμογών.
Η εταιρεία ασφαλείας πιστεύει ότι το backdoor χρησιμοποιήθηκε για αναγνώριση πριν από μια πιο περίπλοκη επίθεση εναντίον επιλεγμένων στόχων.
Οι ερευνητές της ESET δήλωσαν ότι ενημέρωσαν την VGCA νωρίτερα αυτό το μήνα, αλλά ότι ο οργανισμός γνώριζε ήδη για την επίθεση.
Την ημέρα που η ESET δημοσίευσε την έκθεσή της, η VGCA παραδέχτηκε επίσημα την παραβίαση ασφαλείας και δημοσίευσε ένα tutorial για το πώς θα μπορούσαν οι χρήστες να αφαιρέσουν το malware από τα συστήματα τους.
Η ESET είπε ότι βρήκε επίσης θύματα μολυσμένα με το backdoor PhantomNet στις Φιλιππίνες, αλλά δεν μπόρεσε να πει πώς μολύνθηκαν αυτοί οι χρήστες. Υποψιάζεται κάποιον άλλο μηχανισμό παράδοσης.
Η Σλοβακική εταιρεία ασφαλείας δεν αποδίδει επισήμως την επίθεση σε καμία συγκεκριμένη ομάδα, αλλά προηγούμενες αναφορές συνδέουν το malware PhatomNet (Smanager) με τις δραστηριότητες κυβερνο-κατασκοπείας που χρηματοδοτούνται από την Κίνα.
Πηγή πληροφοριών: zdnet.com
