Os hackers inseriram malware dentro de um aplicativo oferecido para download pela Autoridade de Certificação do Governo do Vietnã (VGCA).

Um grupo de hackers misteriosos realizou um ataque inteligente à cadeia de suprimentos contra empresas privadas vietnamitas e agências governamentais inserindo malware dentro de um kit de ferramentas de software oficial do governo.

O ataque, descoberto pela empresa de segurança ESET e detalhado em um relatório denominado " Operação SignSight ", tinha como alvo a Autoridade de Certificação do Governo do Vietnã (VGCA), a organização governamental que emite certificados digitais que podem ser usados ​​para assinar eletronicamente documentos oficiais.

Qualquer cidadão vietnamita, empresa privada e até mesmo outra agência governamental que queira enviar arquivos para o governo vietnamita deve assinar seus documentos com um certificado digital compatível com VGCA.

O VGCA não apenas emite esses certificados digitais, mas também fornece "aplicativos cliente" prontos para o usuário que os cidadãos, empresas privadas e funcionários do governo podem instalar em seus computadores e automatizar o processo de assinatura de um documento.

Mas a ESET diz que em algum momento deste ano, hackers invadiram o site da agência, localizado em ca.gov.vn , e inseriram malware dentro de dois dos aplicativos cliente VGCA oferecidos para download no site.

Os dois arquivos eram aplicativos cliente de 32 bits ( gca01-client-v2-x32-8.3.msi ) e 64 bits ( gca01-client-v2-x64-8.3.msi ) para usuários do Windows.

A ESET diz que entre 23 de julho e 5 de agosto deste ano, os dois arquivos continham um cavalo de Tróia backdoor denominado PhantomNet , também conhecido como Smanager .

O malware não era muito complexo, mas apenas um wireframe para plug-ins mais potentes, disseram os pesquisadores.

Os plug-ins conhecidos incluem a funcionalidade de recuperar configurações de proxy para contornar firewalls corporativos e a capacidade de baixar e executar outros aplicativos (maliciosos).

A empresa de segurança acredita que a porta dos fundos foi usada para reconhecimento antes de um ataque mais complexo contra alvos selecionados.

Os pesquisadores da ESET disseram que notificaram o VGCA no início deste mês, mas que a agência já sabia do ataque antes de seu contato.

No dia em que a ESET publicou seu relatório, o VGCA também admitiu formalmente a violação de segurança e publicou um tutorial sobre como os usuários podem remover o malware de seus sistemas.

VÍTIMAS DO PANTOMNET TAMBÉM DESCOBERTAS NAS FILIPINAS A ESET disse que também encontrou vítimas infectadas com o backdoor do PhantomNet nas Filipinas, mas não foi capaz de dizer como esses usuários foram infectados. Suspeita-se de outro mecanismo de entrega.

A empresa de segurança eslovaca não atribuiu formalmente o ataque a nenhum grupo em particular, mas relatórios anteriores vinculavam o malware PhatomNet (Smanager) a atividades de espionagem cibernética patrocinadas pelo estado chinês.

O incidente VGCA marca o quinto grande ataque à cadeia de suprimentos este ano, depois de:

SolarWinds - hackers russos comprometeram o mecanismo de atualização do aplicativo SolarWinds Orion e infectaram as redes internas de milhares de empresas com o malware Sunburst.

Able Desktop - hackers chineses comprometeram o mecanismo de atualização de um aplicativo de bate-papo usado por centenas de agências governamentais da Mongólia.

GoldenSpy - Um banco chinês vinha forçando empresas estrangeiras em atividade na China a instalar um kit de ferramentas de software fiscal de backdoor.

Wizvera VeraPort - Hackers norte-coreanos comprometeram o sistema Wizvera VeraPort para entregar malware aos usuários sul-coreanos.

Fonte: ZDNet