Le Vietnam pris pour cible dans une attaque par rebond
Sécurité : Les cyberattaquants ont inséré des malwares dans des applications officielles proposées par une autorité gouvernementale.
Au Vietnam, une cyberattaque de type “supply chain attack”, ou “attaque par rebond”, a touché des entreprises privées et des agences gouvernementales, en raison de malwares contenus dans des outils logiciels gouvernementaux.
La VGCA cible de l’attaque
L’attaque, découverte par la société de sécurité ESET et détaillée dans un rapport intitulé “Operation SignSight”, a visé l’Autorité de certification du gouvernement vietnamien (VGCA), l’organisme gouvernemental qui émet des certificats numériques pouvant être utilisés pour signer électroniquement des documents officiels.
Tout citoyen vietnamien, toute entreprise privée et même tout autre organisme gouvernemental qui souhaite soumettre des dossiers au gouvernement vietnamien doit signer ses documents avec un certificat numérique compatible VGCA.
La VGCA ne se contente pas de délivrer ces certificats numériques, elle fournit également des “applications client” simples et ergonomiques que les citoyens, les entreprises privées et les fonctionnaires peuvent installer pour automatiser le processus de signature d’un document.
Des malwares dans les applications Windows
D’après l’ESET, des cyberattaquants auraient pénétré cette année le site web de la VGCA – ca.gov.vn – et inséré des malwares dans deux de ses applications proposées en téléchargement. Les deux fichiers étaient des applications client 32 bits (gca01-client-v2-x32-8.3.msi) et 64 bits (gca01-client-v2-x64-8.3.msi) pour Windows.
L’ESET indique qu’entre le 23 juillet et le 5 août de cette année, les deux fichiers contenaient un cheval de Troie détourné nommé PhantomNet, également connu sous le nom de Smanager.
Le malware n’était pas très complexe, il s’agissait plutôt d’un wireframe pour des plug-in à plus haut potentiel, d’après les chercheurs. Parmi les plug-in connus, l’un d’eux permettait de récupérer des paramètres du proxy afin de contourner le pare-feu d’une orgnisation et de donner la possibilité de télécharger et d’exécuter d’autres applications (malveillantes). L’entreprise de sécurité pense que la porte dérobée a été utilisée pour une reconnaissance avant une attaque plus complexe contre des cibles précises.
Les chercheurs de l’ESET ont informé la VGCA au début du mois, mais l’agence avait déjà eu connaissance de l’attaque. Le jour de la publication de leur rapport, la VGCA a formellement admis la faille de sécurité et publié un tutoriel pour aider les utilisateurs à supprimer d’éventuels malwares de leurs systèmes.
Les victimes de PantomNet également découvertes aux Philippines
L’ESET affirme avoir également trouvé des victimes infectées par la porte dérobée de PhantomNet aux Philippines, mais ne peut pas dire comment ces utilisateurs ont été infectés. Un autre mécanisme de diffusion est suspecté.
Si la société de sécurité slovaque n’a pas formellement attribué l’attaque à un groupe particulier, des enquêtes précédentes établissaient un lien entre le malware PhatomNet (Smanager) et les activités de cyberespionnage parrainées par l’Etat chinois.
L’incident qui a touché la VGCA est la cinquième attaque majeure de ce type (supply chain attack) cette année, après :
- SolarWinds : des cyberattaquants russes ont compromis le mécanisme de mise à jour de l’application Orion de SolarWinds et infecté les réseaux internes de milliers d’entreprises à travers le monde avec le malware Sunburst.
- Able Desktop : des attaquants chinois ont compromis le mécanisme de mise à jour d’une application de chat utilisée par des centaines d’agences gouvernementales mongoles.
- GoldenSpy : une banque chinoise a fait installer à des entreprises étrangères actives en Chine un logiciel de taxation qui contenait une porte dérobée.
- Wizvera VeraPort : des cyberattaquants nord-coréens ont compromis le système Wizvera VeraPort pour envoyer des logiciels malveillants à des utilisateurs sud-coréens.
Par Catalin Cimpanu – ZdNet – 29 décembre 2020