Een Israëlisch beveiligingsbedrijf heeft naar eigen zeggen malware in de inventarisscanners ontdekt die door een Chinees bedrijf aan de scheepvaart en logistieke sector worden verkocht. De scanners worden gebruikt voor het inventariseren van goederen die verscheept of getransporteerd moeten worden.

De malware in kwestie, die "Zombie Zero" wordt genoemd, bevond zich in de ingebedde Windows XP-versie die op de hardware draaide en door de fabrikant was geïnstalleerd. Daarnaast werd de malware ook aangeboden via de supportwebsite van de fabrikant. Verder ontdekten de onderzoekers ook een variant van de malware die met dezelfde hardware werd meegeleverd en aan een groot productiebedrijf was verkocht, alsmede zeven andere bedrijven die zich over de hele wereld bevinden.

Aanval

Eén bedrijf had 48 van de Chinese scanners in gebruik, waarvan er 16 met malware besmet waren. Zodra de scanner met het draadloze netwerk verbinding maakte probeerde het de bedrijfsomgeving via het server message block (SMB)-protocol aan te vallen. Het aangevallen bedrijf in kwestie gebruikte beveiligingscertificaten om de netwerktoegang te regelen. Aangezien de certificaten ook op de besmette scanners werden geïnstalleerd kon de malware hier ook gebruik van maken.

De data die de scanners scanden, waaronder herkomst, bestemming, inhoud en waarde, werden gekopieerd en naar een Chinees IP-adres gestuurd. Daarnaast slaagde de malware er ook in om de financiële server van het bedrijf te compromitteren en zo financiële gegevens en CRM-data te stelen. Hierdoor zouden de aanvallers achter de malware een compleet beeld van de bedrijfsvoering kunnen krijgen, aldus de onderzoekers van TrapX.