یک نرم‌افزار دولتی ویتنام هک شد

به گزارش کارگروه حملات سایبری سایبربان؛ هکرها نوعی بدافزار را به داخل برنامه‌ای که توسط سازمان صدور گواهی دولت ویتنام VGCA برای بارگیری ارائه‌شده بود وارد کردند.

گروهی از هکرهای مخفی علیه شرکت‌های خصوصی و سازمان‌های دولتی ویتنام یک حمله‌ی زنجیره‌ی تأمین پیچیده طراحی کردند که این حمله از طریق واردکردن یک بدافزار به داخل یک نرم‌افزار دولتی اعمال شد.

این حمله که توسط یک شرکت امنیتی به نام ESET شناسایی شد و در گزارشی به نام "Operation SignSight" با جزئیات شرح داده شد، سازمان صدور گواهی دولت ویتنام (VGCA) را مورد هدف قرارداد؛ VGCA یک سازمان دولتی است که گواهینامه‌های دیجیتالی را که می‌تواند برای امضای الکترونیکی اسناد رسمی استفاده شود را صادر می‌کند.

هر شهروند ویتنامی، شرکت خصوصی و یا حتی سازمان‌های دولتی دیگر اگر بخواهند فایل‌هایی را به دولت ویتنام ارائه دهند باید اسناد خود را با یک گواهی دیجیتالی سازگار با VGCA امضا کنند.

سازمان صدور گواهی دولت ویتنام علاوه بر صدور این گواهی‌های دیجیتالی، برنامه‌های آماده و کاربرپسندی را نیز ارائه می‌دهد که شهروندان، شرکت‌های خصوصی و کارمندان دولت می‌توانند این برنامه‌ها را روی رایانه‌ی خود نصب کنند و روند امضای یک سند را به‌صورت خودکار انجام دهند.

اما به گفته شرکت ESET امسال هکرها چند بار به وب‌سایت این سازمان به آدرس ca.gov.vn نفوذ کرده و بدافزار را درون دو مورد از برنامه‌های ارائه‌شده توسط VGCA که برای بارگیری در سایت عرضه‌شده بود، وارد کردند.

این دو فایل برنامه‌های 32 بیتی (gca01-client-v2-x32-8.3.msi) و 64 بیتی (gca01-client-v2-x64-8.3.msi) برای کاربران ویندوز بودند.

شرکت ESET می‌گوید بین تاریخ 23 ژوئیه تا 5 اوت امسال این دو فایل حاوی یک حمله‌ی تروجان بک دور به نام PhantomNet که Samanager نیز نامیده می‌شود، بود.

محققان میگویند این بدافزار چندان هم پیچیده نبوده و صرفاً ابزاری برای افزونه (پلاگین) های قوی‌تر بوده است.

افزونه‌های شناخته‌شده شامل قابلیت بازیابی تنظیمات پروکسی به‌منظور دور زدن فایروال‌های شرکتی و توانایی بارگیری و اجرای برنامه‌های (مخرب) دیگر بودند.

این شرکت امنیتی معتقد است، این بک دور جهت شناسایی و اکتشاف قبل از یک حمله‌ی پیچیده‌تر به هدف‌های انتخاب‌شده اعمال‌شده است.

محققان ESET میگویند که آن‌ها اوایل این ماه VGCA را مطلع کردند اما این سازمان از قبل از این حمله مطلع بوده است.

روزی که ESET گزارش خود را منتشر کرد، VGCA رسماً این رخنه‌ی امنیتی را پذیرفت و آموزشی را منتشر کرد که در آن به کاربران یاد می‌داد چگونه می‌توانند بدافزار را از سیستم‌های خود از بین ببرند.

قربانیان PhantomNet در فیلیپین نیز کشف شدند.

شرکت ESET بیان داشت که قربانیانی که توسط بک دور PhantomNet آلوده‌شده بودند را کشف کردند اما قادر به توضیح اینکه کاربران چگونه به این بک دور مبتلا شده بودند، نبودند.

شرکت امنیتی اسلواکی این حمله را به‌طور رسمی به گروه خاصی نسبت نداده اما گزارش‌های قبلی بدافزار PhantomNet (Samanager) را به فعالیت‌های جاسوسی سایبری تحت حمایت دولت چین مرتبط می‌کند.

حادثه‌ی VGCA پنجمین حمله‌ی مهم زنجیره‌ی تأمین سال جاری پس از موارد زیر است:

SolarWinds: هکرهای روسی سازوکار به‌روزرسانی برنامه‌ی SolarWinds Orion را هک کردند و شبکه‌های داخلی هزاران شرکت را در سراسر جهان به بدافزار Sunburst آلوده کردند.

Able Desktop: هکرهای چینی سازوکار به‌روزرسانی یک برنامه‌ی گفت‌وگومحور که توسط صدها سازمان دولتی مغول استفاده می‌شد را هک کردند.

GoldenSpy: یک بانک چینی شرکت‌های خارجی فعال در چین را مجبور به نصب ابزار نرم‌افزاری مالیاتی آلوده‌شده توسط بک دور، کرد.

Wizvera VeraPort: هکرهای کره‌ی شمالی سیستم Wizvera VeraPort را هک کردند تا بدافزاری را در اختیار کاربران کره جنوبی قرار دهند.