În mai 2024, firma de securitate cibernetică ESET a identificat un atac complex cu malware provenit de pe site-ul furnizorului sud-coreean de VPN IPany. Atacul, atribuit grupului de hackeri chinezi PlushDemon, reprezintă un exemplu important de compromis al lanțului de aprovizionare, vizând utilizatori din întreaga Asie.
Descoperirea malware-ului SlowStepper
Software-ul antivirus al ESET a detectat infecții neobișnuite pe computerele cu Windows, care au fost ulterior urmărite până la un installer malițios disponibil pe site-ul IPany. Acest installer instala atât software-ul VPN legitim, cât și un malware tip backdoor denumit SlowStepper.
„În urma unei analize suplimentare, am descoperit că installerul livra atât software-ul legitim, cât și backdoor-ul pe care l-am numit SlowStepper”, a declarat ESET într-un articol recent pe blog. Compania a contactat IPany, iar installerul compromis a fost eliminat de pe site. Totuși, detaliile despre modul în care hackerii au reușit să compromită site-ul rămân necunoscute, deoarece IPany nu a oferit încă un răspuns.
Ținte diverse și nediscriminatorii
ESET a remarcat că installerul malițios nu conținea cod pentru a selecta utilizatorii pe baza locației geografice sau a adresei IP, ceea ce înseamnă că toți utilizatorii VPN-ului IPany ar fi putut fi ținte valide. Acest lucru ridică semne serioase de întrebare cu privire la amploarea și natura nediscriminatorie a atacului.
Tactici și obiectivele PlushDemon
Atacul a fost atribuit grupului PlushDemon, activ din 2019 și cunoscut pentru campanii de ciberespionaj care au vizat China, Taiwan, Coreea de Sud și Statele Unite. PlushDemon a utilizat backdoor-ul SlowStepper pentru a stabili o comunicare ascunsă cu serverele sale de comandă și control, oferind capacități precum:
- Descărcarea și executarea de malware suplimentar.
- Colectarea specificațiilor sistemului.
- Ștergerea fișierelor țintite.
Ținte de mare valoare identificate
Telemetria ESET a relevat că mai multe organizații de mare valoare au fost vizate de installerul compromis, inclusiv:
- O companie de semiconductori din Coreea de Sud.
- O companie de dezvoltare software neidentificată, tot din Coreea de Sud.
Cele mai vechi cazuri din telemetria ESET datează din noiembrie 2023 în Japonia și decembrie 2023 în China, ceea ce sugerează că campania PlushDemon a fost în desfășurare cu luni înainte de a fi detectată.
O amenințare în creștere: atacurile asupra lanțului de aprovizionare
Acest incident reprezintă un exemplu clasic de atac asupra lanțului de aprovizionare, unde un software utilizat pe scară largă este compromis pentru a distribui malware către utilizatori fără ca aceștia să bănuiască nimic. Scheme similare au fost observate în trecut. De exemplu, în 2023, hackerii nord-coreeni au compromis aplicația de apeluri vocale 3CX, livrând o versiune malițioasă a software-ului către utilizatorii săi.
Implicații și recomandări
Compromiterea IPany subliniază creșterea amenințărilor cibernetice asupra lanțului de aprovizionare și necesitatea unei vigilențe sporite atât din partea furnizorilor de software, cât și a utilizatorilor finali. Descoperirile ESET evidențiază importanța:
- Verificării integrității software-ului: Dezvoltatorii trebuie să implementeze controale stricte pentru a se asigura că software-ul lor nu a fost compromis.
- Actualizării regulate și monitorizării: Utilizatorii trebuie să mențină software-ul actualizat și să folosească soluții antivirus robuste pentru a detecta posibile amenințări.
- Conștientizării și reacției rapide: Companiile ar trebui să raporteze incidentele și să împărtășească informații cu comunitatea de securitate cibernetică.
Pe măsură ce campaniile de ciberespionaj devin tot mai sofisticate, eforturile coordonate între furnizorii de software, firmele de securitate cibernetică și utilizatorii finali vor fi esențiale pentru a atenua aceste amenințări.
