2014年7月20日 星期日

TrapX:中國製產品掃描器內含惡意程式,殃及多家物流業者

TrapX:中國製產品掃描器內含惡意程式,殃及多家物流業者


TrapX並未揭露該掃描器製造商的名稱,僅透露該製造商位於山東,Zombie Zero惡意程式被安裝在採用嵌入式XP平台的手持掃描器中,並藉由銷售至全球的物流與運輸產業而滲透到這些業者的企業環境中。

資安業者TrapX發現有一中國業者所製造的手持式產品掃描器含有惡意程式,除了可將產品訊息傳送到遠端伺服器外,也能植入後門讓駭客存取企業的機密資訊。

TrapX在該掃描器中偵測到的惡意程式為Zombie Zero,該惡意程式屬於先進持續性威脅(Advanced Persistent Threat,APT)程式,TrapX懷疑這是一個由國家贊助的攻擊,鎖定的是物流與運輸產業。這是屬於武器型的惡意程式,被安裝在採用嵌入式XP平台的手持掃描器中,並藉由銷售至全球的物流與運輸產業而滲透到這些業者的企業環境中。

此一手持掃描器主要是用在運輸裝置上裝載或卸載商品時進行點收,所掃描的資訊包括商品來源、目的地、內容或價值等,而且可透過無線網路傳送到企業的ERP系統中,即使客戶在掃描器上安裝了安全認證機制以確保傳輸安全,但由於該惡意程式是在製造時便安裝,因此可直接繞過該認證機制。

TrapX說明,一旦掃描器連結到無線網路,它就開始利用SMB協定針對企業環境進行攻擊,其中有一名受害客戶總計部署了48台掃描器,其中有16台受到Zombie Zero的感染。此一惡意程式還會鎖定特定的伺服器進行攻擊,例如含有金融(finance)字眼的主機,它同時接收來自中國山東藍翔高級技工學院及北京殭屍網路的命令,可竊取企業伺服器上的各種資訊,包括其全球營運。

TrapX說明,此一惡意程式是被預裝在中國供應鏈業者的產品掃描器的軟/硬體中,然後提供給1家大型的製造商,以及7家物流與運輸業者。TrapX是在某家客戶的掃描器中發現該惡意程式,進而發現其他使用該掃描器的企業也受害。TrapX並未揭露該掃描器製造商的名稱,僅透露該製造商位於山東,該製造商亦否認知道產品中有惡意程式的存在。

轉載自《iThome