Según TrapX, una firma de seguridad cibernética en San Mateo, California, información comercial y financiera habría sido robada de varias empresas de transporte y logística por un avanzado malware instalado en los escáneres de inventario fabricados por una empresa china.
El ataque a la cadena de suministro, conocido como “Zombie Zero”, fue identificado por los investigadores de seguridad de TrapX, que prefirió no individualizar al fabricante chino, pero dijo que el malware estaba instalado de fábrica en los escáneres físicos enviados a los clientes. Adicionalmente, el malware estaba oculto en el firmware de para Windows XP disponible para descarga en la web del fabricante.
El malware fue diseñado para lanzar ataques utilizando el protocolo SMB (Server Message Block) y el protocolo de control remoto Radmin cada vez que el analizador de inventario infectado era conectado a la red inalámbrica de la empresa. Luego, el malware realizaba búsquedas en los servidores ERP (Enterprise Resource Planning), intentando detectar específicamente la palabra “finanzas”, comenta Carl Wright, vicepresidente ejecutivo y gerente general de TrapX, en un comunicado.
Wright se negó a nombrar el software ERP afectado, limitándose a señalar que “es un programa muy popular que se ejecuta en Linux”.
Según los investigadores de TrapX, una vez que un servidor ERP es detectado e intervenido, el malware procede a activar un componente de segunda etapa, que se conecta a un servidor de comando y control instalado en la Escuela Vocacional Lanxiang en la provincia de Shandong de China. Los investigadores recuerdan en su informe que la Escuela Vocacional Lanxiang ha sido vinculada en el pasado a los ataques de ciberespionaje contra Google y otras empresas como parte de una campaña llamada Operación Aurora.
El componente de la segunda etapa descarga, a su vez, un tercer malware, más sofisticado aún, que establece una conexión separada a una instalación en Beijing.
Según los investigadores TrapX, el objetivo del malware es robar datos financieros y de clientes corporativos de los servidores de ERP, junto con la información contenida en manifiestos.
Wright se negó a especular si el proveedor chino, no identificado, insertó intencionalmente el software malicioso en sus escáneres o si podría haber sido víctima de un ataque que comprometió a sus productos físicos y software. Sin embargo, señaló que al ser contactado, el vendedor inicialmente negó las acusaciones, pero luego sustituyó el firmware infectado en su sitio web. Otro indicio es que la empresa tiene su sede a pocas cuadras de la Escuela Vocacional Lanxiang.
Desde el ataque fue detectado originalmente, TrapX ha identificado siete víctimas en el sector del transporte marítimo y la logística, así como una firma de robótica que fue atacado con el mismo software malicioso.
—
Ilustración © Shutterstock 82221493
