Analitycy zajmujący się bezpieczeństwem cybernetycznym ujawnili dziś nowy atak w łańcuchu dostaw (supply-chain attack), wymierzony w wietnamski rządowy organ certyfikacyjny (VGCA), który umożliwiał zainstalowania backdoor’a w systemach ofiar.
Odkryty na początku tego miesiąca przez słowacką firmę ESET zajmującą się bezpieczeństwem Internetu, atak „SignSight” polegał na modyfikacji instalatorów oprogramowania znajdujących się na stronie internetowej Urzędu Bezpieczeństwa Cyberprzestrzeni („ca.gov.vn”) w celu wprowadzenia narzędzia szpiegowskiego o nazwie PhantomNet lub Smanager.
Zgodnie z informacjami uzyskanymi dzięki analizie ESET, naruszenie miało miejsce co najmniej od 23 lipca do 16 sierpnia 2020 r., a dwa przedmiotowe instalatory – „gca01-client-v2-x32-8.3.msi” i „gca01-client-v2-x64-8.3.msi” dla 32-bitowych i 64-bitowych systemów Windows – zostały zmodyfikowane, aby dołączyćdo nich backdoor’a.
Po zgłoszeniu ataku do VGCA, organ certyfikujący potwierdził, że „wiedział o ataku przed naszym zgłoszeniem i powiadomił użytkowników, którzy pobrali oprogramowanie z trojanem”.
” Naruszenie zasobów internetowych organu certyfikującego jest doskonałą okazją dla grup APT, ponieważ internauci mają duże zaufanie do państwowej organizacji odpowiedzialnej za podpisy cyfrowe”, powiedział Matthieu Faou z ESET.
Wietnamski rządowy organ certyfikacyjny
Narzędzie do podpisu cyfrowego, wprowadzone przez wietnamski rządowy komitet szyfrujący w ramach systemu uwierzytelniania elektronicznego, jest wykorzystywane przez sektor rządowy oraz firmy prywatne do cyfrowego podpisywania dokumentów za pomocą tokena USB (zwanego również tokenem PKI), który przechowuje podpis cyfrowy i wymaga działania wspomnianego wyżej sterownika.
W konsekwencji, jedynym sposobem na zainfekowanie użytkownika jest ręczne pobranie i uruchomienie w docelowym systemie zainfekowanego oprogramowania znajdującego się na oficjalnej stronie internetowej.
Po zainstalowaniu, zmodyfikowane oprogramowanie uruchamia oryginalny program GCA, który maskuje naruszenie, a następnie uruchamia backdoor PhantomNet, który maskuje jako pozornie nieszkodliwy plik o nazwie „eToken.exe”.
Backdoor – przygotowany 26 kwietnia – przejmuje odpowiedzialność za zbieranie informacji systemowych, z dodatkowymi możliwościami szkodliwego działania poprzez wykorzystanie wtyczek pobieranych z sieci (np. „vgca.homeunix[.]org” i „office365.blogdns[.]com”), które naśladują nazwy VGCA i popularnego oprogramowania użytkowego.
ESET stwierdził, że oprócz Wietnamu, zidentyfikowano ofiary na Filipinach, ale mechanizm dystrybucji pozostaje nieznany. Niejasny pozostaje również ostateczny cel napastników.
Ataki w łańcuchu dostaw (supply-chain) stają się coraz bardziej powszechnym wektorem ataków grup cyberprzestępczych, ponieważ pozwalają one na masowe umieszczanie złośliwego oprogramowania na wielu komputerach jednocześnie.
Wietnamski rządowy organ certyfikacyjny
W listopadzie ESET ujawnił kampanię Lazarus w Korei Południowej, która wykorzystywała legalne oprogramowanie zabezpieczające i skradzione certyfikaty cyfrowe do dystrybucji narzędzi zdalnej administracji (RAT) na systemach docelowych.
W zeszłym tygodniu odkryto również, że oprogramowanie czatu o nazwie Able Desktop, używane przez 430 agencji rządowych w Mongolii, było wykorzystywane do dostarczania backdoor’ów HyperBro, Korplug RAT, oraz innego trojana zwanego Tmangerem.
Odkryty w tym tygodniu atak na oprogramowanie SolarWinds Orion został wykorzystany do naruszenia kilku głównych agencji rządowych USA, w tym Departamentów Bezpieczeństwa Wewnętrznego, Handlu, Skarbu i Stanu.
„Ataki w łańcuchu dostaw są zazwyczaj trudne do wykrycia, ponieważ złośliwy kod jest zazwyczaj ukryty wśród wielu legalnych kodów, co znacznie utrudnia jego odkrycie”, podsumował Faou.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot