Le Vietnam pris pour cible dans une attaque par rebond
Sécurité : Les cyberattaquants ont inséré des malwares dans des applications officielles proposées par une autorité gouvernementale.
Au Vietnam, une cyberattaque de type « supply chain attack », ou « attaque par rebond », a touché des entreprises privées et des agences gouvernementales, en raison de malwares contenus dans des outils logiciels gouvernementaux.
La VGCA cible de l’attaque
L’attaque, découverte par la société de sécurité ESET et détaillée dans un rapport intitulé « Operation SignSight », a visé l’Autorité de certification du gouvernement vietnamien (VGCA), l’organisme gouvernemental qui émet des certificats numériques pouvant être utilisés pour signer électroniquement des documents officiels.
Tout citoyen vietnamien, toute entreprise privée et même tout autre organisme gouvernemental qui souhaite soumettre des dossiers au gouvernement vietnamien doit signer ses documents avec un certificat numérique compatible VGCA.
La VGCA ne se contente pas de délivrer ces certificats numériques, elle fournit également des « applications client » simples et ergonomiques que les citoyens, les entreprises privées et les fonctionnaires peuvent installer pour automatiser le processus de signature d’un document.
Des malwares dans les applications Windows
D’après l’ESET, des cyberattaquants auraient pénétré cette année le site web de la VGCA – ca.gov.vn – et inséré des malwares dans deux de ses applications proposées en téléchargement. Les deux fichiers étaient des applications client 32 bits (gca01-client-v2-x32-8.3.msi) et 64 bits (gca01-client-v2-x64-8.3.msi) pour Windows.
L’ESET indique qu’entre le 23 juillet et le 5 août de cette année, les deux fichiers contenaient un cheval de Troie détourné nommé PhantomNet, également connu sous le nom de Smanager.
Le malware n’était pas très complexe, il s’agissait plutôt d’un wireframe pour des plug-in à plus haut potentiel, d’après les chercheurs. Parmi les plug-in connus, l’un d’eux permettait de récupérer des paramètres du proxy afin de contourner le pare-feu d’une orgnisation et de donner la possibilité de télécharger et d’exécuter d’autres applications (malveillantes). L’entreprise de sécurité pense que la porte dérobée a été utilisée pour une reconnaissance avant une attaque plus complexe contre des cibles précises.
Les chercheurs de l’ESET ont informé la VGCA au début du mois, mais l’agence avait déjà eu connaissance de l’attaque. Le jour de la publication de leur rapport, la VGCA a formellement admis la faille de sécurité et publié un tutoriel pour aider les utilisateurs à supprimer d’éventuels malwares de leurs systèmes.
Les victimes de PantomNet également découvertes aux Philippines
L’ESET affirme avoir également trouvé des victimes infectées par la porte dérobée de PhantomNet aux Philippines, mais ne peut pas dire comment ces utilisateurs ont été infectés. Un autre mécanisme de diffusion est suspecté.
Si la société de sécurité slovaque n’a pas formellement attribué l’attaque à un groupe particulier, des enquêtes précédentes établissaient un lien entre le malware PhatomNet (Smanager) et les activités de cyberespionnage parrainées par l’Etat chinois.
L’incident qui a touché la VGCA est la cinquième attaque majeure de ce type (supply chain attack) cette année, après :
- SolarWinds : des cyberattaquants russes ont compromis le mécanisme de mise à jour de l’application Orion de SolarWinds et infecté les réseaux internes de milliers d’entreprises à travers le monde avec le malware Sunburst.
- Able Desktop : des attaquants chinois ont compromis le mécanisme de mise à jour d’une application de chat utilisée par des centaines d’agences gouvernementales mongoles.
- GoldenSpy : une banque chinoise a fait installer à des entreprises étrangères actives en Chine un logiciel de taxation qui contenait une porte dérobée.
- Wizvera VeraPort : des cyberattaquants nord-coréens ont compromis le système Wizvera VeraPort pour envoyer des logiciels malveillants à des utilisateurs sud-coréens.
Par Catalin Cimpanu – ZdNet – 29 décembre 2020
Articles similaires / Related posts:
- Le Vietnam interdit strictement les actes de cyberattaque Le Vietnam a rejeté jeudi 23 avril les allégations de FireEye sur le soi-disant soutien vietnamien au groupe de pirates informatiques APT32 contre plusieurs organismes gouvernementaux et entreprises internationales, affirmant que le pays interdit strictement les actes de cyberattaque. Il s’agit d’informations non fondées....
- L’Inauguration du Système national d’information Le Système national d’information, – le Centre d’information, de direction et d’opération du gouvernement, du Premier ministre, a vu le jour ce mercredi 19 août, en présence du Premier ministre Nguyên Xuân Phuc et des membres du gouvernement, des représentants d’ambassades et d’organisations internationales....
- Le Vietnam disposera d’un gouvernement numérique en 2025 « Le gouvernement numérique du Vietnam sera finalisé en 2025 avec des services disponibles 24 heures sur 24 », a déclaré le ministre de l’Information et de la Communication, Nguyên Manh Hùng....
- Vietnam : le cyberpirate devenu agent du gouvernement Au sommet de sa carrière criminelle, le cyberpirate vietnamien Ngo Minh Hieu a volé les données en ligne de dizaines de millions d’Américains. Il travaille désormais pour le gouvernement de son pays, l’un des plus liberticides au monde sur internet....
- Le Vietnam exigera que les « faux » contenus publiés sur les médias sociaux soient supprimés dans les 24 heures Le ministre vietnamien de l’Information a annoncé vendredi que les autorités avaient renforcé la réglementation relative aux « faux » contenus sur les plateformes de médias sociaux, de sorte qu’ils doivent être retirés dans les 24 heures au lieu de 48 heures auparavant....