Поделиться
Госорганы Вьетнама атакованы китайскими хакерами
Киберзлоумышленники скомпрометировали приложения, использовавшиеся для сертификации цифровых документов, подаваемых в правительственные органы Вьетнама. Это означало потенциальную угрозу для тысяч организаций.
Централизованно распространяемая проблема
Неизвестная хакерская группировка провела весьма хитроумную атаку на частные компании и государственные учреждения во Вьетнаме. Для этого используется вредонос, который злоумышленникам удалось встроить в официальный набор ПО, который распространяется на государственном уровне, сообщает ZDNet.
Атака, выявленная специалистами компании ESET, изначально была нацелена на Государственное сертификационное управление Вьетнама, которое, в частности, выпускает цифровые сертификаты безопасности для официальных документов. Любой гражданин, частная компания или государственное учреждение имеют право подавать документы в цифровом виде в госорганы только при наличии сертификата, выпущенного этим управлением.
Помимо этого, Сертификационное управление предлагает клиентское приложение для автоматического присвоения сертификатов цифровым документам.
Киберзлоумышленникам каким-то образом удалось взломать сайт этого учреждения и внедрить вредоносы в 32-битную и 64-битную версии инсталляторов приложений под Windows (gca01-client-v2-x32-8.3.msi и gca01-client-v2-x64-8.3.msi).
Между 23 июля и 5 августа 2020 г. эти файлы были заражены троянцем PhantomNet, он же Smanager. Данный бэкдор не отличался замысловатостью, однако сам по себе он представляет собой лишь каркас для подключения различных плагинов.
Среди известных — программы для считывания настроек прокси-серверов, позволяющая обходить корпоративные брандмауэры, а также скачивать и запускать другие приложения.
Успешная, но непродолжительная атака
По мнению специалистов ESET, основным назначением бэкдора является шпионаж. Вся информация была передана правительству Вьетнама, однако оказалось, что там уже знали об атаке и приняли контрмеры. Одновременно с публикацией ESET власти Вьетнама официально признали факт кибератаки и опубликовали инструкции по удалению вредоноса.
ESET не стала указывать, какая APT-группировка использует PhantomNet, однако в более ранних исследованиях этот троянец связывали с китайской киберразведкой.
Заражения данным троянцем выявлены также на Филиппинах. Возможно, использовался какой-то другой механизм распространения PhantomNet.
«Компрометация правительственных ресурсов — по определению крупнейший успех для киберпреступников и киберразведок, поскольку предполагается, что уровень защищенности таких ресурсов должен быть значительно выше среднего, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — В данном случае злоумышленникам еще и удалось скомпрометировать централизованно распространяемые приложения, обеспечив себе потенциальный доступ к тысячам других ресурсов. И только тот факт, что проблему довольно быстро обнаружили, не позволил потенциальным атакам стать реальностью. Вывод? Даже приложения, исходящие от госорганов, где бы то ни было, стоит проверять хотя бы антивирусом».
Поделиться
Короткая ссылка
