La compañía de ciberseguridad ESET ha descubierto un nuevo ataque contra la cadena de suministro de la Autoridad de Certificación Gubernamental de Vietnam.
Según ha explicado en un comunicado, el ataque se produce mediante el uso del malware PhantomNet o Smanager y los ciberdelincuentes han modificado dos de los instaladores disponibles para su descarga en la web de la Autoridad, añadiendo una backdoor que compromete a los usuarios de la aplicación legítima. Además, ESET subraya que los ataques a la cadena de suministro se han convertido en una vía de ataque habitual entre grupos de ciberespionaje.
"En Vietnam la firma digital es algo muy común, ya que los documentos firmados digitalmente tienen la misma validez que las firmas ‘de puño y letra’. Además de emitir estas firmas, la Autoridad del Gobierno de Vietnam desarrolla y distribuye una herramienta de firma digital utilizada por el gobierno y por empresas privadas para firmar digitalmente cualquier documento", ha explicado Matthieu Faou, uno de los investigadores de ESET que ha analizado la operación SignSight. "El hecho de que se haya comprometido la web de la Autoridad es una oportunidad excelente para los grupos APT, ya que los usuarios confían en la organización estatal".
PhantomNet permite recopilar la información de la víctima
ESET también ha indicado que la backdoor PhantomNet es bastante sencilla y permite recopilar la siguiente información de la víctima: nombre dispositivo y host, nombre de usuario, versión del sistema operativo, privilegios del usuario y la dirección IP pública. Además, permite instalar, actualizar o eliminar los complementos maliciosos más avanzados, los cuales se instalan solamente en unos pocos dispositivos seleccionados por los ciberdelincuentes. Como la víctima también se instala el programa legítimo, es complicado que se dé cuenta de que su ordenador ha quedado comprometido a partir de ese momento.
Los investigadores de la compañía de ciberseguridad descubrieron este ataque a principios de diciembre e, inmediatamente, se lo notificaron tanto al gobierno de Vietnam como a la Autoridad de Certificación del país asiático. El gobierno confirmó que ya conocía el ataque y que informaron a los usuarios que descargaron el malware troyanizado por lo que desde el laboratorio de ESET se cree que no se descargan instaladores comprometidos desde la web desde el pasado mes de agosto.