El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto un nuevo ataque mediante el uso del malware PhantomNet o Smanager contra la cadena de suministro de la Autoridad de Certificación Gubernamental de Vietnam. En el ataque, los delincuentes han modificado dos de los instaladores disponibles para su descarga en la web de la Autoridad añadiendo una backdoor que compromete a los usuarios de la aplicación legítima. Los ataques a la cadena de suministro se han convertido en un vector de ataque habitual entre los grupos de ciberespionaje.
“En Vietnam la firma digital es algo muy común, ya que los documentos firmados digitalmente tienen la misma validez que las firmas ‘de puño y letra’. Además de emitir estas firmas, la Autoridad del Gobierno de Vietnam desarrolla y distribuye una herramienta de firma digital utilizada por el gobierno y por empresas privadas para firmar digitalmente cualquier documento”, afirma Matthieu Faou, uno de los investigadores de ESET que ha analizado la operación SignSight. “El hecho de que se haya comprometido la web de la Autoridad es una oportunidad excelente para los grupos APT, ya que los usuarios confían en la organización estatal”.
La backdoor PhantomNet es bastante sencilla y permite recopilar la información de la víctima (nombre del dispositivo y host, nombre de usuario, versión del sistema operativo, privilegios del usuario y la dirección IP pública), así como instalar, eliminar o actualizar los complementos maliciosos más avanzados, que se instalan solamente en unas pocas máquinas seleccionadas por los delincuentes. Como la víctima también se instala el programa legítimo, es difícil que se dé cuenta de que su ordenador ha quedado comprometido a partir de ese momento.
