Um grupo de hackers misteriosos realizou um ataque inteligente à cadeia de suprimentos contra empresas privadas vietnamitas e agências governamentais inserindo malware em um kit de ferramentas de software oficial do governo.

O ataque, descoberto pela empresa de segurança ESET e detalhado em um relatório chamado “Operação SignSight, ele apontou para a Autoridade de Certificação do Governo do Vietnã (VGCA), a organização governamental que emite certificados digitais que podem ser usados ​​para assinar documentos oficiais eletronicamente.

Qualquer cidadão vietnamita, empresa privada e até mesmo outra agência governamental que deseje enviar arquivos ao governo vietnamita deve assinar seus documentos com um certificado digital compatível com VGCA.

O VGCA não apenas emite esses certificados digitais, mas também fornece “aplicativos cliente” prontos para usar e fáceis de usar que os cidadãos, empresas privadas e funcionários do governo podem instalar em seus computadores e automatizar o processo de assinatura de um documento. .

Mas a ESET diz que em algum momento deste ano, hackers invadiram o site da agência, localizado em ca.gov.vne inseriu malware em dois dos aplicativos clientes do VGCA oferecidos para download no site.

Os dois arquivos eram de 32 bits (gca01-client-v2-x32-8.3.msi) e 64 bits (gca01-client-v2-x64-8.3.msi) aplicativos cliente para usuários do Windows.

A ESET diz que entre 23 de julho e 5 de agosto deste ano, os dois arquivos continham um Trojan backdoor chamado PhantomNet, também conhecido como Smanager.

O malware não era muito complexo, mas era simplesmente um wireframe para plug-ins mais poderosos, disseram os pesquisadores.

Complementos conhecidos incluem a funcionalidade de recuperar configurações de proxy para contornar firewalls corporativos e a capacidade de baixar e executar outros aplicativos (maliciosos).

A empresa de segurança acredita que a porta dos fundos foi usada para reconhecimento antes de um ataque mais complexo a alvos selecionados.

Os investigadores da ESET disseram que notificaram o VGCA no início deste mês, mas que a agência já sabia sobre o ataque antes de seu contato.

No dia em que a ESET publicou seu relatório, o VGCA também admitiu formalmente a violação de segurança e publicou um tutorial sobre como os usuários podem remover malware de seus sistemas.

Vítimas do PantomNet também descobertas nas Filipinas

A ESET disse que também encontrou vítimas infectadas com o backdoor do PhantomNet nas Filipinas, mas não pôde dizer como esses usuários foram infectados. Suspeita-se de outro mecanismo de entrega.

A empresa de segurança eslovaca não atribuiu formalmente o ataque a nenhum grupo em particular, mas relatórios anteriores vinculavam o malware PhatomNet (Smanager) a atividades de espionagem cibernética patrocinadas pelo Estado chinês.

O incidente VGCA marca o quinto grande ataque à cadeia de abastecimento este ano, após o seguinte:

• Ventos solares – Os hackers russos comprometeram o mecanismo de atualização do aplicativo SolarWinds Orion e infectaram as redes internas de milhares de empresas em todo o mundo com o malware Sunburst.
• Mesa capaz – Hackers chineses comprometeram o mecanismo de atualização de um aplicativo de bate-papo usado por centenas de agências governamentais da Mongólia.
• GoldenSpy – Um banco chinês estava forçando empresas estrangeiras que operam na China a instalar um kit de ferramentas de software fiscal backdoor.
• Visite VeraPort – Hackers norte-coreanos comprometeram o sistema Wizvera VeraPort para entregar malware a usuários sul-coreanos.