Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Эксперты сообщили об атаке на цепочку поставок во Вьетнаме

21/12/20

VietHack-1Специалисты ИБ-компании ESET раскрыли новую атаку на цепочку поставок, жертвой которой стал Государственный удостоверяющий центр Вьетнама. В ходе атаки, получившей название SignSight, злоумышленники взломали принадлежащие УЦ инструменты для цифровой подписи с целью установки бэкдоров на систему пользователей.

Как показывают данные телеметрии ESET, взлом произошел между 23 июля и 16 августа 2020 года. По данным специалистов, с помощью хранящихся на сайте УЦ (ca.gov.vn) модифицированных установщиков программного обеспечения хакеры внедрили на системы жертв шпионское ПО PhantomNet или Smanager.

«Компрометация сайта удостоверяющего центра – это хорошая возможность для APT-групп, поскольку посетители, скорее всего, будут иметь высокий уровень доверия к государственной организации, ответственной за цифровую подпись», – пояснил исследователь Матье Фау (Matthieu Faou).

Кода специалисты сообщили УЦ об обнаруженной проблеме, регулятор ответил, что ему уже известно об атаке, и загрузившие модифицированное ПО пользователи были предупреждены.

В ходе атаки злоумышленники модифицировали два установщика – gca01-client-v2-x32-8.3.msi и gca01-client-v2-x64-8.3.msi для 32- и 64-разрядных версий Windows.

Инструмент для цифровой подписи утвержден Государственным комитетом по шифрованию Вьетнама как часть схемы электронной аутентификации. Государственные учреждения и частные компании используют его для цифровой подписи документов с помощью USB-токена (PKI-токена), хранящего цифровую подпись. Для работы этого токена и нужны вышеупомянутые установщики. Поэтому единственный способ заразиться для пользователя – вручную загрузить с официального сайта скомпрометированное ПО и запустить его на своей системе.

После установки на системе жертвы в целях маскировки модифицированное ПО сначала запускает действительную программу GCA, а затем бэкдор PhantomNet, маскирующийся под кажущийся безобидным файл eToken.exe. Бэкдор собирает системную информацию и через плагины получает дополнительные функции с C&C-серверов vgca.homeunix[.]org и office365.blogdns[.]com, использующих название VGCA и других популярных программ.

Помимо Вьетнама жертвы вредоноса были обнаружены на Филиппинах, но механизм его доставки остается неизвестным. Конечная цель злоумышленников также остается неясной: информация об их действиях после взлома практически отсутствует.

Темы:ПреступленияESETбэкдоры
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Фиды для SOC. Осведомлен – значит вооружен
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...