Μια εξελιγμένη επίθεση εφοδιαστικής αλυσίδας στοχεύει έναν πάροχο VPN της Νότιας Κορέας. Η επίθεση στον πάροχο VPN αποδόθηκε σε μια προηγουμένως άγνωστη ομάδα Advanced Persistent Threat (APT), ευθυγραμμισμένη με την Κίνα, που ονομάζεται PlushDaemon.
Δείτε επίσης: Hackers διέρρευσαν configs και VPN credentials για 15.000 συσκευές FortiGate

Η επιχείρηση, που ανακαλύφθηκε τον Μάιο του 2024, αφορούσε την παραβίαση του IPany, ενός νόμιμου λογισμικού VPN που αναπτύχθηκε από μια εταιρεία της Νότιας Κορέας.
Η ομάδα PlushDaemon αντικατέστησε το επίσημο πρόγραμμα εγκατάστασης της υπηρεσίας VPN με μια κακόβουλη έκδοση που ανέπτυξε τόσο το νόμιμο λογισμικό όσο και ένα προσαρμοσμένο backdoor που ονομάζεται SlowStepper. Το SlowStepper είναι ένα backdoor πλούσιο σε χαρακτηριστικά με ένα εκτεταμένο κιτ εργαλείων που περιλαμβάνει πάνω από 30 εξαρτήματα. Αυτό το backdoor, προγραμματισμένo σε C++, Python και Go, παρουσιάζει τις προηγμένες δυνατότητες και τους πόρους της ομάδας.
Οι ερευνητές της ESET πιστεύουν ότι το PlushDaemon δραστηριοποιείται τουλάχιστον από το 2019, πραγματοποιώντας επιχειρήσεις κατασκοπείας εναντίον στόχων στην Κίνα, την Ταϊβάν, το Χονγκ Κονγκ, τη Νότια Κορέα, τις Ηνωμένες Πολιτείες και τη Νέα Ζηλανδία.
Η κύρια μέθοδος αρχικής πρόσβασης της ομάδας περιλαμβάνει την παραβίαση νόμιμων ενημερώσεων κινεζικών εφαρμογών και την ανακατεύθυνση της κυκλοφορίας σε διακομιστές που ελέγχονται από τους εισβολείς.
Δείτε ακόμα: Πάνω από 25.000 SonicWall VPN Firewalls εκτεθειμένα σε ελαττώματα
Το παραβιασμένο πρόγραμμα εγκατάστασης VPN ήταν διαθέσιμο για λήψη από τον επίσημο ιστότοπο της IPany ως αρχείο ZIP. Η ESET δεν βρήκε στοιχεία στοχευμένης διανομής, υποδηλώνοντας ότι οποιοσδήποτε χρήστης VPN του IPany θα μπορούσε να ήταν πιθανό θύμα.

Μετά την ανακάλυψη, η ESET ειδοποίησε αμέσως τον προγραμματιστή λογισμικού VPN, ο οποίος στη συνέχεια αφαίρεσε το κακόβουλο πρόγραμμα εγκατάστασης της PlushDaemon από τον ιστότοπό του.
Η τηλεμετρία της ESET αποκάλυψε ότι αρκετοί χρήστες προσπάθησαν να εγκαταστήσουν το trojanized λογισμικό στα δίκτυα μιας εταιρείας ημιαγωγών και μιας άγνωστης εταιρείας ανάπτυξης λογισμικού στη Νότια Κορέα. Οι παλαιότερες καταγεγραμμένες περιπτώσεις στην τηλεμετρία της ESET χρονολογούνται από τον Νοέμβριο του 2023 για ένα θύμα στην Ιαπωνία και τον Δεκέμβριο του 2023 για ένα θύμα στην Κίνα.
Αυτή η επίθεση εφοδιαστικής αλυσίδας σηματοδοτεί μια σημαντική κλιμάκωση στις τακτικές της PlushDaemon, αποδεικνύοντας την ικανότητά της να θέτει σε κίνδυνο όχι μόνο τις κινεζικές εφαρμογές αλλά και τους παρόχους λογισμικού της Νότιας Κορέας.
Δείτε επίσης: Ευπάθειες στο Mullvad VPN δίνουν τη δυνατότητα σε hackers να εκτελούν κακόβουλο κώδικα
Μια επίθεση εφοδιαστικής αλυσίδας είναι μια εξελιγμένη απειλή για την ασφάλεια στον κυβερνοχώρο που στοχεύει τα τρωτά σημεία της αλυσίδας εφοδιασμού ενός οργανισμού. Αντί να επιτεθούν απευθείας σε μια εταιρεία, οι εγκληματίες του κυβερνοχώρου διεισδύουν σε πιο αδύναμους κρίκους στο δίκτυο προμήθειας, όπως τρίτους προμηθευτές, παρόχους λογισμικού ή συνεργάτες υπηρεσιών. Διακυβεύοντας αυτούς τους μεσάζοντες, οι εισβολείς αποκτούν πρόσβαση στα συστήματα, τα δεδομένα ή την υποδομή της εταιρείας-στόχου. Αυτές οι επιθέσεις μπορεί να οδηγήσουν σε παραβιάσεις δεδομένων, οικονομικές απώλειες και ζημιά στη φήμη. Περιπτώσεις υψηλού προφίλ επιθέσεων στην εφοδιαστική αλυσίδα έχουν υπογραμμίσει τη σημασία των ισχυρών διαδικασιών ελέγχου, της συνεχούς παρακολούθησης και της εφαρμογής μέτρων ασφαλείας σε όλους τους εταίρους στην εφοδιαστική αλυσίδα.
Πηγή: cybersecuritynews