Вьетнам подвергся сложной кибератаке

Группа хакеров осуществила хитроумную кибератаку на информационные системы вьетнамских частных компаний и правительственных учреждений, внедрив вредоносное ПО в официальное правительственное программное обеспечение (ПО). Об этом 28 декабря сообщает информационный портал ZDNet.

Атака, обнаруженная фирмой ESET, оказывающей услуги по кибербезопасности, и подробно описанная в отчете «Операция SignSight», была нацелена на Государственный центр сертификации Вьетнама (VGCA) — правительственную организацию, которая выдает цифровые сертификаты для электронной подписи официальных документов.

Любой вьетнамский гражданин, частная компания и даже другое государственное учреждение, которое хочет отправить файлы вьетнамскому правительству, должны подписать свои документы цифровым сертификатом, совместимым с VGCA.

VGCA не только выдает эти цифровые сертификаты, но также предоставляет готовые и удобные для пользователя «клиентские приложения», которые граждане, частные компании и государственные служащие могут установить на свои компьютеры, автоматизируя тем самым процесс подписания документа.

Но ESET сообщает, что в 2020 году хакеры взломали веб-сайт агентства, расположенный по адресу ca.gov.vn, и внедрили вредоносное ПО в два клиентских приложения VGCA, а именно два файла — 32-разрядное (gca01-client-v2-x32−8.3.msi) и 64-разрядное (gca01-client-v2-x64−8.3.msi) клиентское приложение для пользователей Windows.

ESET сообщает, что в период с 23 июля по 5 августа этого года эти два файла содержали троян-бэкдор (backdoor) PhantomNet, также известный как Smanager. По словам исследователей, вредоносная программа не была очень сложной, а была просто каркасом для более мощных плагинов. Плагины же включали в себя функцию получения настроек прокси для обхода корпоративных брандмауэров и возможность загрузки и запуска других (вредоносных) приложений.

ESET считает, что бэкдор использовался для разведки перед более сложной атакой на выбранные цели. Её исследователи заявили, что они уведомили VGCA о возможном инциденте заранее.

В день публикации отчета ESET VGCA также официально признала нарушение её безопасности и опубликовала руководство о том, как пользователи могут удалить вредоносное ПО из своих систем.

ESET также сообщила, что обнаружила жертв, зараженных бэкдором PhantomNet на Филиппинах, но не смогла точно описать механизм получения вредоносного ПО. Компания официально не приписывала атаку какой-либо конкретной группе, но в предыдущих своих отчетах вредоносное ПО PhatomNet (Smanager) связывало с деятельностью кибершпионажа, спонсируемой Китаем.

Инцидент с VGCA стал пятой крупной атакой в этом году после следующих событий:

SolarWinds — предполагается, что российские хакеры взломали механизм обновления приложения SolarWinds Orion и заразили внутренние сети тысяч компаний по всему миру вредоносной программой Sunburst.

Able Desktop — предполагается, что китайские хакеры взломали механизм обновления приложения чата, используемого сотнями правительственных учреждений Монголии.

GoldenSpy — Китайский банк вынудил иностранные компании, активизирующиеся в Китае, установить набор программных инструментов для налоговой защиты.

Wizvera VeraPort — северокорейские хакеры предположительно взломали систему Wizvera VeraPort для доставки вредоносного ПО южнокорейским пользователям.

Источник: regnum.ru

• США обвинили северокорейскую хакерскую группировку во взломе мобильной игры Axie Infinity

• Иностранные хакеры крадут большие суммы денег у крупных банков во Вьетнаме

• Крипто-мошенники взломали канал Вьетнама на YouTube с 13 млн подписчиков

• "Меня возмутила жадность хакеров": Разработчик Axie Infinity

• Крупнейшая крипто-атака: Игра Axie Infinity взломана на сумму более 600 миллионов долларов США