最近,网络安全公司TrapX发布报告, 指出一个中国的厂商试图通过在物流业的手持扫描器的固件中植入恶意软件来进行窃取供应链情报。
TrapX透露这些装有恶意软件的手持扫描器卖给了8个公司, 其中包括一家大型机器人生产商。
TrapX在这8家公司所购买的手持扫描器中发现了恶意软件, 恶意软件被植入在手持设备中的嵌入式Windows XP系统中。 这些恶意软件可以窃取企业ERP系统中的重要数据。 这些手持扫描器的生产商来自中国山东。 而山东的蓝翔技校这是Google指责进行网络攻击的基地 (蓝翔技校又一次躺枪)。 而这家山东的企业则否认他们的扫描器固件以及固件下载网站被恶意软件感染。
在其中一个公司, 这些感染了恶意软件的扫描器在最初被防火墙挡住后, 通过公司的无线网络, 利用SMB协议进入公司的内网, 然后利用RADMIN协议感染了9台服务器。TrapX发现, 这家公司购买的48台扫描器中,有16台被感染。 这些扫描器中的恶意软件会在公司内网中查找带有“Finance”字样的主机名, 并且窃取其中的物流和财务数据。
恶意软件的命令与控制比较复杂, 首先连接到一个处于蓝翔技校附近的命令与控制服务器。 然后把受感染的服务器与北京的服务器之间建立一个隐蔽的连接。
“黑客成功地窃取了这家公司的财务数据与ERP数据。 使得他们能够了解这家全球运输与船业公司的经营情况。”TrapX在它的报告中写道。 TrapX怀疑这个代号为“零号僵尸”的恶意软件的背后是中国政府, 目的是窃取有关物流公司或者它们客户的情报。
“零号僵尸”是由其中一家被感染的公司中由安全公司放置的“蜜罐”所捕获到的。