Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc Daxin liên quan Trung Quốc tấn công gián điệp nhắm vào nhiều chính phủ
Một công cụ gián điệp mới đã được triển khai để nhắm vào các chính phủ và cơ sở hạ tầng quan trọng trong chiến dịch kéo dài ít nhất kể từ năm 2013.
Nhóm Symantec Threat Hunter của Broadcom đã mô tả backdoor, có tên Daxin, là mã độc có công nghệ tiên tiến, cho phép hacker thực hiện nhiều hoạt động liên lạc và thu thập thông tin nhắm vào các đối tượng trong lĩnh vực viễn thông, vận tải và sản xuất có lợi ích chiến lược với Trung Quốc.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cho biết: "Mã độc Daxin là một backdoor rootkit rất tinh vi với chức năng điều khiển và kiểm soát (C2) phức tạp, cho phép hacker từ xa giao tiếp với các thiết bị an ninh không kết nối trực tiếp với Internet".
Bộ cấy này có dạng một kernel driver Windows, thực hiện một cơ chế giao tiếp phức tạp giúp mã độc có khả năng “ẩn mình” tốt và khả năng giao tiếp với các máy bị ngắt kết nối Internet.
Để đạt được điều này, bộ cấy tránh khởi chạy các dịch vụ mạng riêng, thay vào đó chọn tận dụng các dịch vụ TCP/IP hợp pháp đang chạy trên các máy tính bị nhiễm virus để kết hợp giao tiếp của nó với lưu lượng bình thường trên mạng của mục tiêu và nhận lệnh từ một máy ngang hàng từ xa.
"Các tính năng này gợi nhớ đến Regin", các nhà nghiên cứu đề cập đến một bộ công cụ hack và mã độc tinh vi khác được cho là của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) sử dụng cho các hoạt động gián điệp của chính phủ vào năm 2014.
Ngoài việc không tạo ra lưu lượng truy cập mạng đáng ngờ nào để tránh bị phát hiện, Daxin có khả năng chuyển tiếp các lệnh qua mạng các máy tính bị nhiễm trong tổ chức bị tấn công, tạo ra "kênh liên lạc đa nút" cho phép truy cập định kỳ vào máy tính bị xâm nhập trong thời gian dài.
Symantec cho biết họ đã phát hiện ra những điểm chung của Daxin với một mã độc cũ hơn có tên Exforel (hay còn gọi là Zala). Như vậy, Daxin có thể đã được xây dựng bởi hacker có quyền truy cập vào cơ sở mã của Exforel hoặc cả 2 là mã độc của cùng một nhóm.
Các chiến dịch không được quy cho riêng đối tượng nào, nhưng dòng thời gian của các cuộc tấn công cho thấy Daxin đã được cài đặt trên một số hệ thống tương tự, nơi các công cụ liên kết với mã độc gián điệp Trung Quốc khác như Slug. Điều này bao gồm việc triển khai cả mã độc Daxin và Owprox trên một máy tính của một công ty công nghệ vào tháng 5/2020.
Các nhà nghiên cứu cho biết: “Daxin chắc chắn là mã độc tiên tiến nhất, sử dụng bởi hacker liên quan Trung Quốc. Dựa trên khả năng và bản chất của các cuộc tấn công đã triển khai, Daxin dường như được tối ưu hóa để nhắm vào các mục tiêu khó khăn, cho phép hacker đào sâu vào mạng của mục tiêu và lấy dữ liệu mà không gây nghi ngờ".
Tiết lộ được đưa ra một tuần sau khi có thông tin về backdoor "hàng đầu" Bvp47 được đưa vào sử dụng trong hơn một thập kỷ nhằm vào 287 tổ chức tại 45 quốc gia chủ yếu ở Trung Quốc, Hàn Quốc, Nhật Bản, Đức, Tây Ban Nha, Ấn Độ và Mexico.
Nhóm Symantec Threat Hunter của Broadcom đã mô tả backdoor, có tên Daxin, là mã độc có công nghệ tiên tiến, cho phép hacker thực hiện nhiều hoạt động liên lạc và thu thập thông tin nhắm vào các đối tượng trong lĩnh vực viễn thông, vận tải và sản xuất có lợi ích chiến lược với Trung Quốc.
Bộ cấy này có dạng một kernel driver Windows, thực hiện một cơ chế giao tiếp phức tạp giúp mã độc có khả năng “ẩn mình” tốt và khả năng giao tiếp với các máy bị ngắt kết nối Internet.
Để đạt được điều này, bộ cấy tránh khởi chạy các dịch vụ mạng riêng, thay vào đó chọn tận dụng các dịch vụ TCP/IP hợp pháp đang chạy trên các máy tính bị nhiễm virus để kết hợp giao tiếp của nó với lưu lượng bình thường trên mạng của mục tiêu và nhận lệnh từ một máy ngang hàng từ xa.
"Các tính năng này gợi nhớ đến Regin", các nhà nghiên cứu đề cập đến một bộ công cụ hack và mã độc tinh vi khác được cho là của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) sử dụng cho các hoạt động gián điệp của chính phủ vào năm 2014.
Ngoài việc không tạo ra lưu lượng truy cập mạng đáng ngờ nào để tránh bị phát hiện, Daxin có khả năng chuyển tiếp các lệnh qua mạng các máy tính bị nhiễm trong tổ chức bị tấn công, tạo ra "kênh liên lạc đa nút" cho phép truy cập định kỳ vào máy tính bị xâm nhập trong thời gian dài.
Symantec cho biết họ đã phát hiện ra những điểm chung của Daxin với một mã độc cũ hơn có tên Exforel (hay còn gọi là Zala). Như vậy, Daxin có thể đã được xây dựng bởi hacker có quyền truy cập vào cơ sở mã của Exforel hoặc cả 2 là mã độc của cùng một nhóm.
Các chiến dịch không được quy cho riêng đối tượng nào, nhưng dòng thời gian của các cuộc tấn công cho thấy Daxin đã được cài đặt trên một số hệ thống tương tự, nơi các công cụ liên kết với mã độc gián điệp Trung Quốc khác như Slug. Điều này bao gồm việc triển khai cả mã độc Daxin và Owprox trên một máy tính của một công ty công nghệ vào tháng 5/2020.
Các nhà nghiên cứu cho biết: “Daxin chắc chắn là mã độc tiên tiến nhất, sử dụng bởi hacker liên quan Trung Quốc. Dựa trên khả năng và bản chất của các cuộc tấn công đã triển khai, Daxin dường như được tối ưu hóa để nhắm vào các mục tiêu khó khăn, cho phép hacker đào sâu vào mạng của mục tiêu và lấy dữ liệu mà không gây nghi ngờ".
Tiết lộ được đưa ra một tuần sau khi có thông tin về backdoor "hàng đầu" Bvp47 được đưa vào sử dụng trong hơn một thập kỷ nhằm vào 287 tổ chức tại 45 quốc gia chủ yếu ở Trung Quốc, Hàn Quốc, Nhật Bản, Đức, Tây Ban Nha, Ấn Độ và Mexico.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: