WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Hoạt động gián điệp mạng Trung Quốc hướng sự chú ý tới các hệ thống SCADA
Một nhóm gián điệp mạng Trung Quốc bị phát hiện đang nhắm mục tiêu vào các tổ chức cơ sở hạ tầng quan trọng ở Đông Nam Á và có vẻ rất quan tâm tới các hệ thống kiểm soát công nghiệp (ICS).
Trong nhiều năm qua, những kẻ tấn công từ Trung Quốc thường xuyên nhắm mục tiêu vào các tổ chức quân sự, viễn thông, công nghệ và chính phủ tại khu vực Đông Nam Á.
Mới đây, Symantec báo cáo về một đợt tấn công nhắm vào 04 tổ chức cơ sở hạ tầng quan trọng ở một quốc gia Đông Nam Á (không nêu rõ tên). Hoạt động này bắt đầu từ tháng 11/2020 đến khoảng tháng 3/2021, nhằm thu thập thông tin tình báo.
Từ địa chỉ IP, phần mềm độc hại được sử dụng trong các cuộc tấn công, tính chất và vị trí mục tiêu cho thấy 04 tổ chức, gồm công ty nước, điện, truyền thông và tổ chức quốc phòng, đều bị tấn công bởi cùng một nhóm.
Các nhà nghiên cứu của Symantec không thể xác định chính xác loại thông tin nào đã bị đánh cắp, nhưng các thiết bị mà những kẻ tấn công xâm nhập có thể cung cấp một số dấu hiệu.
Trong cuộc tấn công vào công ty nước, kẻ tấn công lấy được quyền truy cập vào thiết bị dùng để thiết kế hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA). Điều này cho thấy kẻ tấn công có thể quan tâm đến những hệ thống như vậy.
Nhóm gián điệp cũng sử dụng một số công cụ kép và hợp pháp, bao gồm Công cụ quản lý Windows (WMI), ProcDump, PsExec, PAExec và Mimikatz. Chúng cũng sử dụng trình phát đa phương tiện miễn phí để chiếm quyền điều khiển DLL và có thể là một plugin Internet Explorer hợp pháp có tên là Google Chrome Frame. Ngoài ra, các cuộc tấn công còn liên quan đến keylogger, backdoor và trình tải xuống.
Những công cụ này cho phép kẻ tấn công lấy cắp thông tin đăng nhập và các thông tin khác, hoặc thậm chí xâm nhập ngang hàng trong mạng mục tiêu.
Symantec cho biết: “Kẻ tấn công có thể nằm vùng các mạng mục tiêu mà không bị phát hiện trong nhiều tháng cho thấy chúng có kỹ năng tốt”.
Mới đây, Symantec báo cáo về một đợt tấn công nhắm vào 04 tổ chức cơ sở hạ tầng quan trọng ở một quốc gia Đông Nam Á (không nêu rõ tên). Hoạt động này bắt đầu từ tháng 11/2020 đến khoảng tháng 3/2021, nhằm thu thập thông tin tình báo.
Từ địa chỉ IP, phần mềm độc hại được sử dụng trong các cuộc tấn công, tính chất và vị trí mục tiêu cho thấy 04 tổ chức, gồm công ty nước, điện, truyền thông và tổ chức quốc phòng, đều bị tấn công bởi cùng một nhóm.
Các nhà nghiên cứu của Symantec không thể xác định chính xác loại thông tin nào đã bị đánh cắp, nhưng các thiết bị mà những kẻ tấn công xâm nhập có thể cung cấp một số dấu hiệu.
Trong cuộc tấn công vào công ty nước, kẻ tấn công lấy được quyền truy cập vào thiết bị dùng để thiết kế hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA). Điều này cho thấy kẻ tấn công có thể quan tâm đến những hệ thống như vậy.
Nhóm gián điệp cũng sử dụng một số công cụ kép và hợp pháp, bao gồm Công cụ quản lý Windows (WMI), ProcDump, PsExec, PAExec và Mimikatz. Chúng cũng sử dụng trình phát đa phương tiện miễn phí để chiếm quyền điều khiển DLL và có thể là một plugin Internet Explorer hợp pháp có tên là Google Chrome Frame. Ngoài ra, các cuộc tấn công còn liên quan đến keylogger, backdoor và trình tải xuống.
Những công cụ này cho phép kẻ tấn công lấy cắp thông tin đăng nhập và các thông tin khác, hoặc thậm chí xâm nhập ngang hàng trong mạng mục tiêu.
Symantec cho biết: “Kẻ tấn công có thể nằm vùng các mạng mục tiêu mà không bị phát hiện trong nhiều tháng cho thấy chúng có kỹ năng tốt”.
Nguồn: Security Week
Chỉnh sửa lần cuối bởi người điều hành: