Operation SignSight: ataque de cadena de suministro a una autoridad de certificación

Los investigadores de ESET han descubierto un ataque de cadena de suministro en el sitio web de un gobierno en el sudeste asiático. Apenas unas semanas después del ataque de cadena de suministro en el software Able Desktop, se produjo otro ataque similar en el sitio web de la Autoridad de Certificación del Gobierno de Vietnam (VGCA, por sus siglas en inglés): ca.gov.vn. Los atacantes modificaron dos de los instaladores del software disponibles para su descarga en este sitio web y agregaron un backdoor con el objetivo de comprometer a los usuarios de la aplicación legítima.

Los investigadores de ESET descubrieron este nuevo ataque de cadena de suministro a principios de diciembre de 2020 y notificaron a la organización comprometida y al VNCERT.

Parece que el sitio web no ha estado entregando instaladores del software comprometido hasta finales de agosto de 2020 y los datos de telemetría de ESET no indican que los instaladores comprometidos hayan estado siendo distribuidos en otro lugar. La Autoridad de Certificación del Gobierno de Vietnam confirmó que estaban al tanto del ataque previo a nuestra notificación y que informaron a los usuarios que descargaron el software troyanizado.

Ataque de cadena de suministro en Vietnam.

En Vietnam, las firmas digitales son muy comunes, ya que los documentos firmados digitalmente tienen la misma validez que los firmados de puño y letra. De acuerdo con el Decreto No. 130/2018, los certificados criptográficos utilizados para firmar documentos deben ser otorgados por uno de los proveedores de certificados autorizados que incluyen a la VGCA, que forma parte del Comité de Cifrado del Gobierno. Ese comité, a su vez, depende del Ministerio de Información y Comunicación.

Además de emitir certificados, la VGCA desarrolla y distribuye un set de herramientas de firma digital, el cual es utilizado por el gobierno vietnamita, y probablemente por empresas privadas, para firmar documentos digitales. El compromiso del sitio web de una autoridad certificadora es una buena oportunidad para los grupos de APT, ya que es muy probable que los visitantes tengan un alto nivel de confianza en una organización estatal responsable de las firmas digitales. Estos programas son distribuidos en agencias del Partido y del Estado.

Con el compromiso de Able Desktop, el ataque de WIZVERA VeraPort por Lazarus y el reciente ataque de cadena de suministro en Orion de SolarWinds, vemos que los ataques de cadena de suministro son un vector de compromiso bastante común para los grupos de ciberespionaje. En este caso en particular comprometieron el sitio web de una autoridad certificadora vietnamita, en la cual probablemente los usuarios tengan un alto nivel de confianza.

Los ataques a la cadena de suministro suelen ser difíciles de encontrar, ya que el código malicioso generalmente está oculto entre una gran cantidad de código legítimo, lo que dificulta mucho su descubrimiento.

Contenido completo en fuente original We Live Security

Suscríbete a nuestro Boletín