Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Nhóm tình báo Strider nhắm tới một số quốc gia
Một nhóm tình báo mạng đã xâm nhập hệ thống của ít nhất 7 cơ quan tại 4 quốc gia từ tháng 10/2011, sử dụng mã độc “cây nhà lá vườn” là backdoor có tên gọi Remsec.
Theo Symantec, nhóm tin tặc có biệt danh Strider đã tấn công 4 cơ quan tại Nga và 1 tại Bỉ (Đại sứ quán), Thụy Điển và Trung Quốc (Hàng không). Về hoạt động của nhóm, các chuyên gia lưu ý một số điểm tương đồng chưa rõ ràng với nhóm tin tặc Flamer bởi cả hai đều sử dụng mã độc dựa trên các mô-đun Lua.
Bên cạnh đó, trước đây một trong những mục tiêu của Strider cũng từng bị lây nhiễm backdoor Regin. Ngoài hai đặc điểm này, không có mối liên hệ nào với các chiến dịch tình báo mạng khác.
Strider sử dụng mã độc Remsec để tấn công mục tiêu
Tất cả các cuộc tấn công do Strider tiến hành đều phát tán backdoor Remsec. Mã độc này có khả năng lây nhiễm các thiết bị và thực hiện một số hành vi độc hại sử dụng mô-đun Lua cấp 2 load trong quá trình chạy.
Phần lớn thời gian backdoor chạy trong bộ nhớ của máy tính và rất khó phát hiện. Cùng với thực tế là nhóm tin tặc chỉ tập trung vào một số lượng nhỏ mục tiêu, điều này cho phép nhóm hoạt động trong 5 năm mà không bị phát hiện.
Quá trình xâm nhập cơ bản của Strider bắt đầu bằng việc lây nhiễm Remsec, thường là thông qua một bộ tải ẩn như tập tin MSAOSSPC.dll. DLL này sẽ tải các tập tin từ ổ đĩa vào bộ nhớ hệ điều hành.
Remsec là một backdoor mạnh và linh hoạt
Tập tin trên đồng thời chứa toàn bộ các mô-đun Remsec mà bộ tải chỉ tải khi cần thiết. Những mô-đun này cung cấp tính năng ghi keystroke, chèn mô-đun Lua độc hại vào tiến trình hệ thống và tải file thực thi lên mạng để xâm nhập các mục tiêu khác.
Ngoài ra, Remsec có thể nghe lén trên ổ mạng nội bộ và mở một backdoor cho máy chủ C&C theo nhiều cách khác nhau.
"Strider có thể xây dựng các công cụ mã độc tùy chỉnh và hoạt động ngầm khỏi hệ thống radar trong ít nhất 5 năm", các chuyên gia cho biết. "Dựa vào khả năng theo dõi của mã độc và tính chất của mục tiêu mà nhóm nhắm tới, có vẻ đây là nhóm tin tặc cấp độ quốc gia".
Kaspersky cũng đưa ra thông báo về hoạt động của nhóm tin tặc và đặt tên là OperationSauron. Hãng cho biết, nhóm tin tặc đã xâm nhập hệ thống của hơn 30 tổ chức ở các nước như Nga, Iran, Rwanda, và nhiều quốc gia nói tiếng Ý.
Nguồn: Softpedia
Theo Symantec, nhóm tin tặc có biệt danh Strider đã tấn công 4 cơ quan tại Nga và 1 tại Bỉ (Đại sứ quán), Thụy Điển và Trung Quốc (Hàng không). Về hoạt động của nhóm, các chuyên gia lưu ý một số điểm tương đồng chưa rõ ràng với nhóm tin tặc Flamer bởi cả hai đều sử dụng mã độc dựa trên các mô-đun Lua.
Bên cạnh đó, trước đây một trong những mục tiêu của Strider cũng từng bị lây nhiễm backdoor Regin. Ngoài hai đặc điểm này, không có mối liên hệ nào với các chiến dịch tình báo mạng khác.
Strider sử dụng mã độc Remsec để tấn công mục tiêu
Tất cả các cuộc tấn công do Strider tiến hành đều phát tán backdoor Remsec. Mã độc này có khả năng lây nhiễm các thiết bị và thực hiện một số hành vi độc hại sử dụng mô-đun Lua cấp 2 load trong quá trình chạy.
Phần lớn thời gian backdoor chạy trong bộ nhớ của máy tính và rất khó phát hiện. Cùng với thực tế là nhóm tin tặc chỉ tập trung vào một số lượng nhỏ mục tiêu, điều này cho phép nhóm hoạt động trong 5 năm mà không bị phát hiện.
Quá trình xâm nhập cơ bản của Strider bắt đầu bằng việc lây nhiễm Remsec, thường là thông qua một bộ tải ẩn như tập tin MSAOSSPC.dll. DLL này sẽ tải các tập tin từ ổ đĩa vào bộ nhớ hệ điều hành.
Remsec là một backdoor mạnh và linh hoạt
Tập tin trên đồng thời chứa toàn bộ các mô-đun Remsec mà bộ tải chỉ tải khi cần thiết. Những mô-đun này cung cấp tính năng ghi keystroke, chèn mô-đun Lua độc hại vào tiến trình hệ thống và tải file thực thi lên mạng để xâm nhập các mục tiêu khác.
Ngoài ra, Remsec có thể nghe lén trên ổ mạng nội bộ và mở một backdoor cho máy chủ C&C theo nhiều cách khác nhau.
"Strider có thể xây dựng các công cụ mã độc tùy chỉnh và hoạt động ngầm khỏi hệ thống radar trong ít nhất 5 năm", các chuyên gia cho biết. "Dựa vào khả năng theo dõi của mã độc và tính chất của mục tiêu mà nhóm nhắm tới, có vẻ đây là nhóm tin tặc cấp độ quốc gia".
Kaspersky cũng đưa ra thông báo về hoạt động của nhóm tin tặc và đặt tên là OperationSauron. Hãng cho biết, nhóm tin tặc đã xâm nhập hệ thống của hơn 30 tổ chức ở các nước như Nga, Iran, Rwanda, và nhiều quốc gia nói tiếng Ý.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: