Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Hai chiến dịch gián điệp mạng nhắm vào chính phủ Trung Đông và cơ quan năng lượng
Các chuyên gia vừa phát hiện hai mạng gián điệp tập trung tại khu vực Trung Đông, một nhằm thu thập tin tức tình báo của chính phủ và một nhắm vào các cơ quan năng lượng.
Chiến dịch đầu tiên, được các chuyên gia đặt tên Volatile Cedar (tạm dịch là Bách hương khả biến), nhắm tới các tổ chức chính phủ, nhà thầu quân sự và các ngành nhạy cảm khác tại Israel, Thổ Nhĩ Kỳ, US và cả Liban.
Các cuộc tấn công trong cả hai chiến dịch bắt nguồn từ quét tìm lỗ hổng trên các máy chủ kết nối Internet. Các máy chủ bị xâm nhập sau đó được sử dụng như một vị trí đầu cầu để tìm kiếm và lây nhiễm các máy khác trong mạng. Chiêu thức tấn công tường đối quen thuộc nhưng tin tặc sử dụng các kỹ thuật tinh vi để che dấu việc xâm nhập.
Chuyên gia của Check Point nhận định: “Ngày càng có bằng chứng cho thấy không chỉ tin tặc “sừng sỏ” có thể thực hiện tấn công, mà bất kỳ kẻ nào có khả năng tạo mã độc cũng có thể tạo ra mạng phức tạp để theo dõi”.
Chiến dịch thứ hai có tên gọi Trojan.Laziok nhắm vào hàng loạt công ty xăng dầu và khí đốt, với hơn một nửa số công ty thuộc khu vực Vịnh của Trung Đông. Không giống với Volatile Cedar, nhóm tin tặc đứng sau Laziok sử dụng mail spam chứa mã độc gửi tới các công ty.
Laziok dường như là bước đầu của một chiến dịch tấn công nhắm vào ngành xăng dầu và khí đốt. Mã độc được sử dụng có chức năng thu thập dữ liệu, bao gồm tên máy tính, phần mềm cài đặt và phần mềm diệt virus. Một khi xác định máy nạn nhân phù hợp với việc thực hiện tấn công, tin tặc sẽ gửi các lệnh bổ sung để lây nhiễm rộng hơn trên thiết bị, từ đó chiếm quyền kiểm soát.
“Nhóm tin tặc đứng sau chiến dịch có vẻ không “cao tay” lắm, bởi chỉ tiến hành khai thác lỗ hổng cũ và phát tán các mã độc đã được biết đến rộng rãi trên chợ ngầm. Tuy nhiên nhiều người dùng vẫn chưa cập nhật bản vá cho các lỗ hổng vài năm trở lại đây, và có thể bị tấn công theo hình thức này”, các chuyên gia cho biết.
Volatile Cedar hoạt động tinh vi hơn, không sử dụng spear-phishing mà nhắm tới các máy chủ công cộng (public facing server), tìm kiếm các lỗ hổng có thể khai thác để xâm nhập và tìm hiểu về mạng. Để tránh bị phát hiện, tin tặc rất cẩn thận và chỉ lây nhiễm một số lượng nhỏ hệ thống.
Theo nhận định của các chuyên gia, Volatile Cedar đã bắt đầu hoạt động từ tháng 10/2012 với phiên bản mã độc đầu tiên có tên “Explosive”. Kết quả điều tra cho thấy, biến thể của Explosive được host trên một dịch vụ Internet tại Liban.
Chiến dịch đầu tiên, được các chuyên gia đặt tên Volatile Cedar (tạm dịch là Bách hương khả biến), nhắm tới các tổ chức chính phủ, nhà thầu quân sự và các ngành nhạy cảm khác tại Israel, Thổ Nhĩ Kỳ, US và cả Liban.
Các cuộc tấn công trong cả hai chiến dịch bắt nguồn từ quét tìm lỗ hổng trên các máy chủ kết nối Internet. Các máy chủ bị xâm nhập sau đó được sử dụng như một vị trí đầu cầu để tìm kiếm và lây nhiễm các máy khác trong mạng. Chiêu thức tấn công tường đối quen thuộc nhưng tin tặc sử dụng các kỹ thuật tinh vi để che dấu việc xâm nhập.
Chuyên gia của Check Point nhận định: “Ngày càng có bằng chứng cho thấy không chỉ tin tặc “sừng sỏ” có thể thực hiện tấn công, mà bất kỳ kẻ nào có khả năng tạo mã độc cũng có thể tạo ra mạng phức tạp để theo dõi”.
Chiến dịch thứ hai có tên gọi Trojan.Laziok nhắm vào hàng loạt công ty xăng dầu và khí đốt, với hơn một nửa số công ty thuộc khu vực Vịnh của Trung Đông. Không giống với Volatile Cedar, nhóm tin tặc đứng sau Laziok sử dụng mail spam chứa mã độc gửi tới các công ty.
Laziok dường như là bước đầu của một chiến dịch tấn công nhắm vào ngành xăng dầu và khí đốt. Mã độc được sử dụng có chức năng thu thập dữ liệu, bao gồm tên máy tính, phần mềm cài đặt và phần mềm diệt virus. Một khi xác định máy nạn nhân phù hợp với việc thực hiện tấn công, tin tặc sẽ gửi các lệnh bổ sung để lây nhiễm rộng hơn trên thiết bị, từ đó chiếm quyền kiểm soát.
“Nhóm tin tặc đứng sau chiến dịch có vẻ không “cao tay” lắm, bởi chỉ tiến hành khai thác lỗ hổng cũ và phát tán các mã độc đã được biết đến rộng rãi trên chợ ngầm. Tuy nhiên nhiều người dùng vẫn chưa cập nhật bản vá cho các lỗ hổng vài năm trở lại đây, và có thể bị tấn công theo hình thức này”, các chuyên gia cho biết.
Volatile Cedar hoạt động tinh vi hơn, không sử dụng spear-phishing mà nhắm tới các máy chủ công cộng (public facing server), tìm kiếm các lỗ hổng có thể khai thác để xâm nhập và tìm hiểu về mạng. Để tránh bị phát hiện, tin tặc rất cẩn thận và chỉ lây nhiễm một số lượng nhỏ hệ thống.
Theo nhận định của các chuyên gia, Volatile Cedar đã bắt đầu hoạt động từ tháng 10/2012 với phiên bản mã độc đầu tiên có tên “Explosive”. Kết quả điều tra cho thấy, biến thể của Explosive được host trên một dịch vụ Internet tại Liban.
Nguồn: eWEEK
Chỉnh sửa lần cuối bởi người điều hành: