最近，網絡安全公司TrapX發布報告， 指出一個中國的廠商試圖通過在物流業的手持掃描器的固件中植入惡意軟件來進行竊取供應鏈情報。

[[117313]]

TrapX透露這些裝有惡意軟件的手持掃描器賣給了8個公司， 其中包括一家大型機器人生產商。

TrapX在這8家公司所購買的手持掃描器中發現了惡意軟件， 惡意軟件被植入在手持設備中的嵌入式Windows XP系統中。 這些惡意軟件可以竊取企業ERP系統中的重要數據。 這些手持掃描器的生產商來自中國山東。 而山東的藍翔技校這是Google指責進行網絡攻擊的基地 (藍翔技校又一次躺槍)。 而這家山東的企業則否認他們的掃描器固件以及固件下載網站被惡意軟件感染。

在其中一個公司， 這些感染了惡意軟件的掃描器在最初被防火墻擋住后， 通過公司的無線網絡， 利用SMB協議進入公司的內網， 然后利用RADMIN協議感染了9臺服務器。TrapX發現， 這家公司購買的48臺掃描器中，有16臺被感染。 這些掃描器中的惡意軟件會在公司內網中查找帶有“Finance”字樣的主機名， 并且竊取其中的物流和財務數據。

惡意軟件的命令與控制比較復雜， 首先連接到一個處于藍翔技校附近的命令與控制服務器。 然后把受感染的服務器與北京的服務器之間建立一個隱蔽的連接。

“黑客成功地竊取了這家公司的財務數據與ERP數據。 使得他們能夠了解這家全球運輸與船業公司的經營情況。”TrapX在它的報告中寫道。 TrapX懷疑這個代號為“零號僵尸”的惡意軟件的背后是中國政府， 目的是竊取有關物流公司或者它們客戶的情報。

“零號僵尸”是由其中一家被感染的公司中由安全公司放置的“蜜罐”所捕獲到的。

原文地址：http://www.aqniu.com/industry-case-study/3691.html