Vietnam apunta a complejos ataques a la cadena de suministro

Un grupo de misteriosos piratas informáticos llevó a cabo ataques inteligentes a la cadena de suministro contra empresas privadas y agencias gubernamentales en Vietnam insertando malware en kits de herramientas de software oficiales del gobierno.

El ataque fue descubierto por la empresa de seguridad ESET y se llamó “Acción SignSight“A tal efecto, la Autoridad de Certificación del Gobierno de Vietnam (VGCA) es una organización gubernamental que emite certificados digitales, que se pueden utilizar para firmar electrónicamente documentos oficiales.

Todos los ciudadanos vietnamitas, empresas privadas e incluso otras agencias gubernamentales que deseen enviar documentos al gobierno vietnamita deben usar un certificado digital compatible con VGCA para firmar sus documentos.

VGCA no solo emite estos certificados digitales, sino que también proporciona “aplicaciones cliente” listas para usar y fáciles de usar que los ciudadanos, las empresas privadas y los trabajadores del gobierno pueden instalar en sus computadoras y automatizar el proceso de firma de documentos.

Pero ESET dijo que en algún momento de este año, los piratas informáticos piratearon el sitio web de la agencia, que se encuentra en ca.gov.vnE insertó el malware en dos aplicaciones cliente VGCA, que se pueden descargar en el sitio web.

Estos dos archivos son de 32 bits (gca01-cliente-v2-x32-8.3.msi) Y 64 bits (gca01-client-v2-x64-8.3.msi) Aplicación cliente para usuarios de Windows.

ESET declaró que durante el período del 23 de julio al 5 de agosto de este año, estos dos archivos contenían un archivo llamado ” Red fantasmaTambién conocido como Gerente.

Los investigadores dijeron que el malware no es muy complejo, sino solo una estructura alámbrica para complementos más potentes.

Los complementos conocidos incluyen la capacidad de recuperar la configuración del proxy para eludir el firewall de la empresa y la capacidad de descargar y ejecutar otras aplicaciones (maliciosas).

La empresa de seguridad cree que las puertas traseras se han utilizado para el reconocimiento antes de ataques más sofisticados a objetivos seleccionados.

Los investigadores de ESET dijeron que notificaron a VGCA a principios de este mes, pero la agencia estaba al tanto del ataque antes de contactar.

El día que ESET publicó el informe, VGCA también reconoció oficialmente la vulnerabilidad de seguridad y emitió Tutoriales Cómo eliminan los usuarios el malware del sistema.

También se encontraron víctimas de PantomNet en Filipinas

ESET dijo que también encontró víctimas infectadas por la puerta trasera de PhantomNet en Filipinas, pero no pudo decir cómo se infectaron estos usuarios. Se sospecha que existe otro mecanismo de entrega.

La compañía de seguridad eslovaca no atribuyó formalmente el ataque a ningún grupo específico, pero informes anteriores vincularon el malware PhatomNet (Smanager) con el ciberespionaje respaldado por el estado chino.

El incidente de VGCA marcó el quinto gran ataque a la cadena de suministro este año, por las siguientes razones:

• Viento solar -Los piratas informáticos rusos socavaron el mecanismo de actualización de la aplicación SolarWinds Orion e infectaron las redes internas de miles de empresas a través del malware Sunburst.
• Capaz de escritorio -Los piratas informáticos chinos han interrumpido el mecanismo de actualización de las aplicaciones de chat utilizadas por cientos de agencias gubernamentales de Mongolia.
• Espía dorado -Un banco chino ha estado obligando a empresas extranjeras a realizar actividades en China para instalar kits de herramientas de software de impuestos de puerta trasera.
• Visite VeraPort -Los piratas informáticos norcoreanos invadieron el sistema Wizvera VeraPort y difundieron malware entre los usuarios surcoreanos.