Một nhóm tin tặc bí ẩn đã thực hiện một cuộc tấn công chuỗi cung ứng thông minh nhằm vào các công ty tư nhân và cơ quan chính phủ của Việt Nam bằng cách chèn phần mềm độc hại vào bên trong bộ công cụ phần mềm chính thức của chính phủ.
Cuộc tấn công được phát hiện bởi hãng bảo mật ESET và được nêu chi tiết trong một báo cáo có tên “Operation SignSight”, nhằm vào Cơ quan Chứng thực Chính phủ Việt Nam (VGCA), tổ chức chính phủ cấp chứng chỉ số có thể được sử dụng để ký điện tử các văn bản chính thức.
Bất kỳ công dân, công ty tư nhân và thậm chí cơ quan chính phủ Việt Nam khác muốn nộp hồ sơ cho chính phủ Việt Nam phải ký tài liệu của họ bằng chứng thư số tương thích với VGCA.
VGCA không chỉ cấp các chứng chỉ kỹ thuật số này mà còn cung cấp các “ứng dụng khách” thân thiện với người dùng và được tạo sẵn để công dân, công ty tư nhân và nhân viên chính phủ có thể cài đặt trên máy tính của họ và tự động hóa quá trình ký tài liệu.
Nhưng ESET nói rằng đôi khi trong năm nay, tin tặc đã đột nhập vào trang web của cơ quan, có địa chỉ tại ca.gov.vn và chèn phần mềm độc hại vào bên trong hai ứng dụng khách VGCA được cung cấp để tải xuống trên trang web.
Hai tệp là ứng dụng khách 32-bit (gca01-client-v2-x32-8.3.msi) và 64-bit (gca01-client-v2-x64-8.3.msi) cho người dùng Windows.
ESET cho biết trong khoảng thời gian từ ngày 23 tháng 7 đến ngày 5 tháng 8 năm nay, hai tệp tin này chứa một trojan cửa sau có tên PhantomNet, còn được gọi là Smanager.
Các nhà nghiên cứu cho biết phần mềm độc hại không quá phức tạp nhưng lại mở cửa cho các plugin độc hại khác mạnh hơn.
Các plugin đã biết bao gồm chức năng truy xuất cài đặt proxy để vượt qua tường lửa của công ty và khả năng tải xuống và chạy các ứng dụng (độc hại) khác.
Công ty bảo mật tin rằng cửa hậu đã được sử dụng để do thám trước một cuộc tấn công phức tạp hơn nhằm vào các mục tiêu được chọn.
Các nhà nghiên cứu của ESET cho biết họ đã thông báo cho VGCA vào đầu tháng này nhưng cơ quan này đã biết về vụ tấn công trước khi có liên hệ.
Vào ngày ESET công bố báo cáo của mình, VGCA cũng chính thức thừa nhận vi phạm bảo mật và xuất bản một hướng dẫn về cách người dùng có thể xóa phần mềm độc hại khỏi hệ thống của họ.
