ויאטנם: מתקפת שרשת אספקה נגד סוכנויות ממשלתיות
קבוצת ההאקרים תקפה את רשות האישורים הממשלתית בווייטנאם והפכה את מנגנון הPKI לטובתה
עמי רוחקס דומבה
| 29/12/2020
קבוצה של האקרים מסתוריים ביצעה מתקפה חכמה של שרשרת האספקה נגד חברות פרטיות וייטנאמיות וסוכנויות ממשלתיות על ידי הכנסת תוכנות זדוניות לתוך ערכת כלים רשמית של תוכנה ממשלתית. ההתקפה, שהתגלתה על ידי חברת האבטחה ESET ומפורטת בדו"ח בשם "מבצע SignSight", התמקדה ברשות האישורים הממשלתית בווייטנאם (VGCA), הארגון הממשלתי שמנפיק תעודות דיגיטליות שניתן להשתמש בהן לחתימה אלקטרונית על מסמכים רשמיים.
כל אזרח וייטנאמי, חברה פרטית ואפילו סוכנות ממשלתית המעוניינת להגיש קבצים לממשלת וייטנאם, חייבים לחתום על מסמכיהם בתעודה דיגיטלית תואמת VGCA. ה- VGCA לא רק מנפיקה תעודות דיגיטליות אלה אלא גם מספק "אפליקציות לקוח" מוכנות וידידותיות למשתמש, שאזרחים, חברות פרטיות ועובדי ממשלה יכולים להתקין במחשבים שלהם ולבצע אוטומציה של תהליך החתימה על מסמך.
החוקרים אמרו כי התוכנה הזדונית לא הייתה מורכבת במיוחד, אלא הייתה רק מסגרת לתוספים חזקים יותר. תוספים אלו כללו את הפונקציונליות לאחזור הגדרות ה- proxy על מנת לעקוף את חומות האש הארגוניות ואת האפשרות להוריד ולהריץ אפליקציות אחרות (זדוניות). חברת האבטחה מאמינה שהדלת האחורית שימשה לסיור לפני התקפה מורכבת יותר נגד יעדים נבחרים.
הזלגת המידע נעשית על בסיס פרוטוקול מוצפן HTTPS, כאשר הקבוצה עושה שימוש בSSL pinning. מנגנון כזה מאפשר לקבוצה לשמור על נתיב תעבורה מוצפן וחסין, יחסית, למתקפות MITM. כמו גם, נעשה שימוש בdynamic DNS.
קבוצת ההאקרים תקפה את רשות האישורים הממשלתית בווייטנאם והפכה את מנגנון הPKI לטובתה
קבוצה של האקרים מסתוריים ביצעה מתקפה חכמה של שרשרת האספקה נגד חברות פרטיות וייטנאמיות וסוכנויות ממשלתיות על ידי הכנסת תוכנות זדוניות לתוך ערכת כלים רשמית של תוכנה ממשלתית. ההתקפה, שהתגלתה על ידי חברת האבטחה ESET ומפורטת בדו"ח בשם "מבצע SignSight", התמקדה ברשות האישורים הממשלתית בווייטנאם (VGCA), הארגון הממשלתי שמנפיק תעודות דיגיטליות שניתן להשתמש בהן לחתימה אלקטרונית על מסמכים רשמיים.
כל אזרח וייטנאמי, חברה פרטית ואפילו סוכנות ממשלתית המעוניינת להגיש קבצים לממשלת וייטנאם, חייבים לחתום על מסמכיהם בתעודה דיגיטלית תואמת VGCA. ה- VGCA לא רק מנפיקה תעודות דיגיטליות אלה אלא גם מספק "אפליקציות לקוח" מוכנות וידידותיות למשתמש, שאזרחים, חברות פרטיות ועובדי ממשלה יכולים להתקין במחשבים שלהם ולבצע אוטומציה של תהליך החתימה על מסמך.
החוקרים אמרו כי התוכנה הזדונית לא הייתה מורכבת במיוחד, אלא הייתה רק מסגרת לתוספים חזקים יותר. תוספים אלו כללו את הפונקציונליות לאחזור הגדרות ה- proxy על מנת לעקוף את חומות האש הארגוניות ואת האפשרות להוריד ולהריץ אפליקציות אחרות (זדוניות). חברת האבטחה מאמינה שהדלת האחורית שימשה לסיור לפני התקפה מורכבת יותר נגד יעדים נבחרים.
הזלגת המידע נעשית על בסיס פרוטוקול מוצפן HTTPS, כאשר הקבוצה עושה שימוש בSSL pinning. מנגנון כזה מאפשר לקבוצה לשמור על נתיב תעבורה מוצפן וחסין, יחסית, למתקפות MITM. כמו גם, נעשה שימוש בdynamic DNS.