Vietnam está en la mira de ciberatacantes chinos de nuevo

Vietnam Lands in Chinese Hackers' Sights Again
25/08/2017

Una Campaña de hacking está dirigida a grandes organizaciones vietnamitas, y se relaciona con el mismo grupo que anteriormente atacó a Vietnam Airlines en 2016.

De acuerdo con Votiro, las ofensivas posiblemente están dirigidas por el grupo chino 1937CN. 

La campaña fue descubierta cuando dos exploits para CVE-2012-0158 fueron enviados a Virus Total a principios de agosto. Después de seguir el rastro, los investigadores descubrieron más de una docena de dominios maliciosos utilizados para actividades de C&C (comando y control). Algunos de estos, como dcsvn[.]org (Un spoof del sitio web del Partido Comunista de Vietnam), han estado activos desde 2015.

Este es el mismo sitio web que proporciona el link a 1937CN. En 2016, la aerolínea más importante de Vietnam fue víctima de un ataque coordinado en el que software malicioso fue instalado en la máquina del administrador para espionaje y acceso remoto. El sitio web de la aerolínea fue modificado y la página principal fue reemplazada con un mensaje del grupo 1937CN. Los datos de más de 400,000 viajeros frecuentes inscritos al programa Golden Lotus fueron comprometidos. Al mismo tiempo, los sistemas de audio y video de Tan Son Nhat y Noi Bai, los dos aeropuertos más grandes en Vietnam, fueron modificados para difundir mensajes políticos.

Anteriormente investigadores de Bkav Malware Research identificaron la misma URL que proporciona el C&C para el malware, el cual es capaz de penetrar en lo más profundo de las redes y causar estragos. Bkav encontró que este se hace pasar como un software antivirus, y usualmente se oculta durante algún tiempo sin ser detectado mientras recolecta las cuentas y contraseñas. Además permite controlar remotamente la máquina de la víctima, de esta manera los atacantes pueden realizar varias actividades maliciosas como eliminar rastros, cambiar archivos de audio, mostrar información en el sistema de video, cifrar datos, entre otras actividades. Adicionalmente, el malware tiene componentes especializados en la manipulación de bases de datos SQL.

1937CN tiene historial de elegir a Vietnam como blanco incluso antes de la campaña de la aerolínea. Hackeo alrededor de 1000 sitios web vietnamitas en mayo de 2015, incluyendo 15 portales de gobierno y 50 sitios educativos. Al mismo tiempo tenía en la mira a 200 sitios web en Filipinas.

Artículos relacionados: