Malware oculto en esc谩neres de inventario chinos vulner贸 la log铆stica de empresas navieras

Investigadores de la empresa de seguridad TrapX descubrieron un sofisticado ataque de ciberespionaje multietapa iniciado en la cadena de suministro.

Seg煤n TrapX, una firma de seguridad cibern茅tica en San Mateo, California, informaci贸n comercial y financiera habr铆a sido robada de varias empresas de transporte y log铆stica por un avanzado malware instalado en los esc谩neres de inventario fabricados por una empresa china.

El ataque a la cadena de suministro, conocido como “Zombie Zero”, fue identificado por los investigadores de seguridad de TrapX, que prefiri贸 no individualizar al fabricante chino, pero dijo que el malware estaba instalado de f谩brica en los esc谩neres f铆sicos enviados a los clientes. Adicionalmente, el malware estaba oculto en el firmware de para Windows XP disponible para descarga en la web del fabricante.

El malware fue dise帽ado para lanzar ataques utilizando el protocolo SMB (Server Message Block) y el protocolo de control remoto Radmin cada vez que el analizador de inventario infectado era conectado a la red inal谩mbrica de la empresa. Luego, el malware realizaba b煤squedas en los servidores ERP (Enterprise Resource Planning), intentando detectar espec铆ficamente la palabra “finanzas”, comenta Carl Wright, vicepresidente ejecutivo y gerente general de TrapX, en un comunicado.

Wright se neg贸 a nombrar el software ERP afectado, limit谩ndose a se帽alar que “es un programa muy popular que se ejecuta en Linux”.

Seg煤n los investigadores de TrapX, una vez que un servidor ERP es detectado e intervenido, el malware procede a activar un componente de segunda etapa, que se conecta a un servidor de comando y control instalado en la Escuela Vocacional Lanxiang en la provincia de Shandong de China. Los investigadores recuerdan en su informe que la Escuela Vocacional Lanxiang ha sido vinculada en el pasado a los ataques de ciberespionaje contra Google y otras empresas como parte de una campa帽a llamada Operaci贸n Aurora.

El componente de la segunda etapa descarga, a su vez, un tercer malware, m谩s sofisticado a煤n, que establece una conexi贸n separada a una instalaci贸n en Beijing.

Seg煤n los investigadores TrapX, el objetivo del malware es robar datos financieros y de clientes corporativos de los servidores de ERP, junto con la informaci贸n contenida en manifiestos.

Wright se neg贸 a especular si el proveedor chino, no identificado, insert贸 intencionalmente el software malicioso en sus esc谩neres o si podr铆a haber sido v铆ctima de un ataque que comprometi贸 a sus productos f铆sicos y software. Sin embargo, se帽al贸 que al ser contactado, el vendedor inicialmente neg贸 las acusaciones, pero luego sustituy贸 el firmware infectado en su sitio web. Otro indicio es que la empresa tiene su sede a pocas cuadras de la Escuela Vocacional Lanxiang.

Desde el ataque fue detectado originalmente, TrapX ha identificado siete v铆ctimas en el sector del transporte mar铆timo y la log铆stica, as铆 como una firma de rob贸tica que fue atacado con el mismo software malicioso.

Ilustraci贸n 漏 Shutterstock 82221493


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.