Специалисты фирмы TrapX сообщают об обнаружении в сканерах штрих-кодов производства одной из китайских компаний сложной шпионской программы, нацеленной на похищение информации из корпоративных ERP-систем. Заражены были как прошивки сканеров, поставлявшихся покупателям, так и прошивки для Windows XP Embedded, выложенные на сайте производителя.
Программа начинала атаки при подключении сканера к беспроводной корпоративной сети. Использовались уязвимости в реализации протокола SMB и инструментов удаленного управления Radmin. После проникновения в сеть программа искала серверы ERP-систем со словом finance в названии и пыталась взломать их с помощью известных методов. На следующем этапе программа устанавливала связь с командным сервером, расположенным в сети Ланьсянского профессионально-технического училища. Именно оттуда, как считается, проводились взломы сетей Google и других компаний в рамках операции под названием Operation Aurora. После загрузки с сервера основного компонента шпионская программа начинала пересылать финансовые и другие данные на сервер, расположенный в Пекине.
Специалисты не называют производителя сканеров и не высказывают предположений о том, как шпионская программа попала в сканеры.