Un grupo de piratas informáticos ha insertado malware dentro de algunas aplicaciones ofrecidas por la Autoridad de Certificación del Gobierno de Vietnam (VGCA).
La VGCA es la organización gubernamental vietnamita emisora de certificados digitales que se pueden emplear para la firma electrónica de documentos oficiales. De modo que para enviar archivos al gobierno de Vietnam, ya sean particulares o empresas, deben firmarse con un certificado digital compatible con la misma. Además, la VGCA no solo emite los certificados digitales, sino que también proporciona aplicaciones para los ciudadanos, las empresas privadas y los trabajadores del gobierno, que les permitan automatizar el proceso de firma de documentos.
El ataque en cuestión ha sido descubierto por la firma de seguridad ESET, detallándolo en el informe «Operation SignSight«. ESET informa de que a lo largo de 2020 el grupo de piratas informáticos logró acceder al sitio web de la agencia (ca.gov.vn), donde insertaron el malware dentro de dos de las aplicaciones de la VGCA que se ofrecen para descargar en el sitio. Los archivos afectados eran dos aplicaciones cliente de 32 bits (gca01-client-v2-x32-8.3.msi) y de 64 bits (gca01-client-v2-x64-8.3.msi) para usuarios de Windows.
Entre el 23 de julio y el 5 de agosto de 2020, ambos archivos contenían un troyano llamado PhantomNet, también conocido como Smanager. Aunque este malware no es complejo, sirve de soporte para complementos más potentes que incluyen la funcionalidad para recuperar la configuración del proxy (para evitar los firewalls corporativos) y la capacidad de descargar y ejecutar otras aplicaciones. Los investigadores sospechaban que el troyana había sido empleado para el reconocimiento preliminar previo a un ataque más complejo contra objetivos seleccionados.
Los investigadores de ESET notificaron el descubrimiento a la VGCA a principios de diciembre, aunque la agencia ya era consciente del ataque. Por lo que el mismo día que ESET publicaba su informe, la VGCA reconocía formalmente la violación de seguridad y publicaba un tutorial sobre cómo eliminar el malware.
No se ha atribuido formalmente el ataque a ningún grupo en particular, pero informes anteriores vinculaban el malware PhantomNet (Smanager) con actividades de ciberespionaje patrocinadas por el estado chino.
Más información:
- https://www.eset.com/int/about/newsroom/press-releases/research/eset-discovers-operation-signsight-supply-chain-attack-against-a-certification-authority-in-southea/
- https://www.welivesecurity.com/la-es/2020/12/17/operation-signsight-ataque-cadena-suministro-autoridad-certificacion/
Deja una respuesta