هکرها در یک حمله سایبری پیچیده زنجیره تأمین ویتنام را هدف گرفتند

یک گروه هک ناشناس به منظور مختل کردن زنجیره تأمین ویتنام، شرکت‌های خصوصی و آژانس‌های دولتی این کشور را با نصب بدافزار روی یک نرم افزار دولتی هدف قرار داد.

این حمله توسط ESET کشف شده و جزئیات آن در گزارشی تحت عنوان Operation SignSight در وب سایت این شرکت امنیتی منتشر شده است. هکرها در این حمله یکی از سازمان‌های دولتی ویتنام با نام اختصاری VGCA را هدف قرار دادند که مسئول صدور گواهی‌های دیجیتال برای امضای الکترونیکی اسناد رسمی است. تمام شهروندان ویتنام، شرکت‌های خصوصی و حتی دیگر آژانس‌های دولتی که قصد ارسال فایل به دولت ویتنام را دارند، باید اسناد خود را با گواهی دیجیتال سازگار با VGCA امضا کنند.

سازمان VGCA علاوه بر صدور گواهی دیجیتال، نرم افزاری را برای شهروندان، شرکت‌های خصوصی و کارکنان دولتی ساخته که با نصب آن روی کامپیوتر می‌توان پروسه امضای اسناد را به طور اتوماتیک انجام داد.

ESET می‌گوید در یکی از ماه‌های سال جاری میلادی، هکرها به وب سایت VGCA نفوذ کرده و دو بدافزار روی فایل‌های قابل دانلود این سایت نصب کرده‌اند. این دو فایل، نسخه ۳۲ بیت (gca01-client-v2-x32-8.3.msi) و ۶۴ بیت (gca01-client-v2-x64-8.3.msi) برنامه خودکارسازی امضای اسناد بوده‌اند که توسط شهروندان ویتنامی قابل دریافت هستند.

به گفته ESET بین تاریخ ۲۳ ژوئیه تا ۵ اوت سال جاری میلادی، دو فایل یاد شده حاوی یک تروجان درب پشتی به نام PhantomNet بوده‌اند که با نام Smanager نیز شناخته می‌شود. محققان امنیتی می‌گوید از این بدافزار به عنوان بستری برای نصب پلاگین‌های مخرب برای به دست آوردن تنظیمات پروکسی به منظور دور زدن فایروال‌های شرکتی و دانلود و اجرای اپ‌های مخرب دیگر استفاده شده است.

ESET می‌افزاید سیستم‌های آلوده به درب پشتی PhantomNet را در فیلیپین هم شناسایی کرده اما  نحوه آلوده شدن آنها را نمی‌تواند با قاطعیت اعلام کند و ممکم است از مکانیزم تزریق دیگری استفاده شده باشد. این شرکت امنیتی اهل اسلواکی از گروه هک خاصی نام نبرد، ولی گزارش‌های قبلی بدافزار PhatomNet یا Smanager را به هکرهای وابسته به دولت چین ارتباط داده‌اند.