Эксперты сообщили о еще одной атаке на цепочку поставок

Специалисты ИБ-компании ESET раскрыли новую атаку на цепочку поставок, жертвой которой стал Государственный удостоверяющий центр Вьетнама. В ходе атаки, получившей название SignSight, злоумышленники взломали принадлежащие УЦ инструменты для цифровой подписи с целью установки бэкдоров на систему пользователей.

Как показывают данные телеметрии ESET, взлом произошел между 23 июля и 16 августа 2020 года. По данным специалистов, с помощью хранящихся на сайте УЦ (ca.gov.vn) модифицированных установщиков программного обеспечения хакеры внедрили на системы жертв шпионское ПО PhantomNet или Smanager.

«Компрометация сайта удостоверяющего центра – это хорошая возможность для APT-групп, поскольку посетители, скорее всего, будут иметь высокий уровень доверия к государственной организации, ответственной за цифровую подпись», – пояснил исследователь Матье Фау (Matthieu Faou).

Кода специалисты сообщили УЦ об обнаруженной проблеме, регулятор ответил, что ему уже известно об атаке, и загрузившие модифицированное ПО пользователи были предупреждены.

В ходе атаки злоумышленники модифицировали два установщика – gca01-client-v2-x32-8.3.msi и gca01-client-v2-x64-8.3.msi для 32- и 64-разрядных версий Windows.

Инструмент для цифровой подписи утвержден Государственным комитетом по шифрованию Вьетнама как часть схемы электронной аутентификации. Государственные учреждения и частные компании используют его для цифровой подписи документов с помощью USB-токена (PKI-токена), хранящего цифровую подпись. Для работы этого токена и нужны вышеупомянутые установщики. Поэтому единственный способ заразиться для пользователя – вручную загрузить с официального сайта скомпрометированное ПО и запустить его на своей системе.

После установки на системе жертвы в целях маскировки модифицированное ПО сначала запускает действительную программу GCA, а затем бэкдор PhantomNet, маскирующийся под кажущийся безобидным файл eToken.exe. Бэкдор собирает системную информацию и через плагины получает дополнительные функции с C&C-серверов vgca.homeunix[.]org и office365.blogdns[.]com, использующих название VGCA и других популярных программ.

Помимо Вьетнама жертвы вредоноса были обнаружены на Филиппинах, но механизм его доставки остается неизвестным. Конечная цель злоумышленников также остается неясной: информация об их действиях после взлома практически отсутствует.

Атаки на цепочки поставок являются серьезной угрозой организациям по всему миру. Ярким примером является взлом техасского производителя ПО SolarWinds. Злоумышленники внедрили бэкдор в обновления для платформы SolarWinds Orion, которые были загружены 18 тыс. клиентов SolarWinds.

Источник: https://www.securitylab.ru/news/514962.php