Samsungovi servisi u Italiji napadnuti malverom, cilj napadača nejasan

Vesti, 19.07.2018, 09:00 AM

Bezbednosni istraživači otkrili su napade na Samsungove servisne centre u Italiji, slične napadima koji su ranije ove godine viđeni u Rusiji a koji su bili usmereni protiv servisa elektronike. Ovakve kampanje same po sebi nisu ništa neobično, jedino što je nejasno je njihova svrha i krajnji cilj napadača.

Napadi u Italiji najčešće počinju isporučivanjem spear fišing emailova radnicima Samsungovih servisnih centara. Ovi emailovi sadrže Excel dokumente koji, kada se otvore, koriste ranjivost CVE-2017-11882 Office Equation Editor da bi zarazili korisnike malverom.

Celokupni sistem isporuke malvera i lanac eksploatacije opisan je u detaljnom izveštaju koji je objavila italijanska kompanija za sajber bezbednost TG Soft i skoro su identični napadima na servisne centre u Rusiji, kojima se bavila kompanija Fortinet u svom izveštaju.

Oba talasa napada, i onaj u Italiji i onaj u Rusiji, započela su krajem marta. Medutim, dok su ruski servisni centri inficirani Imminent Monitor RAT, u napadima na servisne centre kompanije Samsung Italija korišćeni su drugi RAT malveri, poput Netwire i njRAT.

Fišing emailovi su vrlo dobro sastavljeni - čini se da ih je napisao neko ko je iz Italije, odnosno Rusije.

Međutim, uprkos svim podacima koje su prikupili TG Soft i Fortinet, ostalo je najasno zašto hakeri pokušavaju da zaraze servisne centre. Ovakvi uslužni centri imaju vrlo malo podataka o kupcima koje bi napadači mogli da ukradu, a sa druge strane, ima mnogo drugih atraktivnijih ciljeva od kojih se mogu izvući korisniji podaci.

Jedno objašnjenje može biti da napadači pokušavaju da unište alate koji se koriste u ovim servisnim centrima kako bi mogli da zaraze popravljene uređaje malverima. Ali ovo je samo teorija, jer nije pronađen ni jedan dokaz koji bi mogao da podrži ovaj scenario.