Виетнам е обект на сложна атака по веригата за доставки

Група мистериозни хакери са извършили хитра атака по веригата за доставки срещу виетнамски частни лица компании и държавни агенции чрез вмъкване на злонамерен софтуер в официален държавен софтуерен инструментариум.

Атаката, открита от фирмата за сигурност ESET и подробно описана в доклад, наречен "Операция SignSight”, насочен към Правителствения сертифициращ орган на Виетнам (VGCA), правителствената организация, която издава цифрови сертификати, които могат да се използват за електронно подписване на официални документи.

Всеки виетнамски гражданин, частна компания и дори друга държавна агенция, която иска да изпрати файлове на виетнамското правителство, трябва да подпише документите си с цифров сертификат, съвместим с VGCA.

VGCA не само издава тези цифрови сертификати, но също така предоставя готови и лесни за употреба „клиентски приложения“, които граждани, частни компании и държавни служители могат да инсталират на компютрите си и да автоматизират процеса на подписване на a документ.

Но ESET казва, че по някое време тази година хакери са проникнали в уебсайта на агенцията, намиращ се на ca.gov.vn, и вмъкна зловреден софтуер в две от клиентските приложения на VGCA, предлагани за изтегляне на сайта.

Двата файла бяха 32-битови (gca01-клиент-v2-x32-8.3.msi) и 64-битов (gca01-клиент-v2-x64-8.3.msi) клиентски приложения за потребители на Windows.

ESET казва, че между 23 юли и 5 август тази година двата файла са съдържали троян за задната врата на име PhantomNet, също известен като Управител.

Злонамереният софтуер не е много сложен, а е просто телена рамка за по-мощни добавки, казаха изследователите.

Известните плъгини включват функционалността за извличане на настройките на прокси сървъра, за да се заобиколят корпоративните защитни стени и възможността за изтегляне и стартиране на други (злонамерени) приложения.

Фирмата за сигурност смята, че задната врата е била използвана за разузнаване преди по-сложна атака срещу избрани цели.

Изследователите на ESET казаха, че са уведомили VGCA по-рано този месец, но агенцията вече е знаела за атаката, преди да се свърже с нея.

В деня, в който ESET публикува доклада си, VGCA също официално призна за пробива в сигурността и публикува a урок как потребителите могат да премахнат злонамерения софтуер от своите системи.

Жертвите на PantomNet са открити и във Филипините

ESET каза, че също така е открила жертви, заразени с задната врата на PhantomNet във Филипините, но не успя да каже как тези потребители са се заразили. Подозира се друг механизъм за доставка.

Словашката охранителна фирма официално не приписва атаката на конкретна група, а на предишна доклади свързват зловреден софтуер PhatomNet (Smanager) със спонсориран от китайската държава кибершпионаж дейности.

Инцидентът с VGCA бележи петата голяма атака по веригата за доставки тази година след като:

• SolarWinds - Руски хакери компрометираха механизма за актуализация на приложението SolarWinds Orion и заразиха вътрешните мрежи на хиляди компании със зловреден софтуер Sunburst.
• Способен работен плот - Китайски хакери са компрометирали механизма за актуализиране на приложение за чат, използвано от стотици правителствени агенции на Монголия.
• GoldenSpy - Китайска банка принуждаваше чуждестранни компании, активиращи се в Китай, да инсталират инструментариум за данъчен софтуер със задна врата.
• Wizvera VeraPort - Севернокорейски хакери компрометираха системата Wizvera VeraPort, за да доставят зловреден софтуер на южнокорейски потребители.