最近，網(wǎng)絡(luò)安全公司TrapX發(fā)布報(bào)告， 指出一個(gè)中國的廠商試圖通過在物流業(yè)的手持掃描器的固件中植入惡意軟件來進(jìn)行竊取供應(yīng)鏈情報(bào)。

[[117313]]

TrapX透露這些裝有惡意軟件的手持掃描器賣給了8個(gè)公司， 其中包括一家大型機(jī)器人生產(chǎn)商。

TrapX在這8家公司所購買的手持掃描器中發(fā)現(xiàn)了惡意軟件， 惡意軟件被植入在手持設(shè)備中的嵌入式Windows XP系統(tǒng)中。 這些惡意軟件可以竊取企業(yè)ERP系統(tǒng)中的重要數(shù)據(jù)。 這些手持掃描器的生產(chǎn)商來自中國山東。 而山東的藍(lán)翔技校這是Google指責(zé)進(jìn)行網(wǎng)絡(luò)攻擊的基地 (藍(lán)翔技校又一次躺槍)。 而這家山東的企業(yè)則否認(rèn)他們的掃描器固件以及固件下載網(wǎng)站被惡意軟件感染。

在其中一個(gè)公司， 這些感染了惡意軟件的掃描器在最初被防火墻擋住后， 通過公司的無線網(wǎng)絡(luò)， 利用SMB協(xié)議進(jìn)入公司的內(nèi)網(wǎng)， 然后利用RADMIN協(xié)議感染了9臺(tái)服務(wù)器。TrapX發(fā)現(xiàn)， 這家公司購買的48臺(tái)掃描器中，有16臺(tái)被感染。 這些掃描器中的惡意軟件會(huì)在公司內(nèi)網(wǎng)中查找?guī)в?ldquo;Finance”字樣的主機(jī)名， 并且竊取其中的物流和財(cái)務(wù)數(shù)據(jù)。

惡意軟件的命令與控制比較復(fù)雜， 首先連接到一個(gè)處于藍(lán)翔技校附近的命令與控制服務(wù)器。 然后把受感染的服務(wù)器與北京的服務(wù)器之間建立一個(gè)隱蔽的連接。

“黑客成功地竊取了這家公司的財(cái)務(wù)數(shù)據(jù)與ERP數(shù)據(jù)。 使得他們能夠了解這家全球運(yùn)輸與船業(yè)公司的經(jīng)營情況。”TrapX在它的報(bào)告中寫道。 TrapX懷疑這個(gè)代號(hào)為“零號(hào)僵尸”的惡意軟件的背后是中國政府， 目的是竊取有關(guān)物流公司或者它們客戶的情報(bào)。

“零號(hào)僵尸”是由其中一家被感染的公司中由安全公司放置的“蜜罐”所捕獲到的。

原文地址：http://www.aqniu.com/industry-case-study/3691.html