Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc gián điệp phát tán qua máy chủ giả mạo trên Tor
Các chuyên gia F-Secure mới đây đã phát hiện mã độc phát tán thông qua máy chủ giả mạo trên mạng ẩn danh Tor. Mã độc này từng được sử dụng trong các cuộc tấn công có chủ đích nhắm vào các cơ quan chính phủ Châu Âu.
Mã độc OnionDuke, bị nghi ngờ liên quan đến MiniDuke – mã độc gián điệp mạng có nguồn gốc từ Nga từng tấn công Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) và chính phủ các nước Châu Âu trước khi bị phát hiện vào tháng 2/2013.
Tháng 10/2014, chuyên gia Josh Pitts của Leviathan Security Group đã phát hiện một exit node trên mạng ẩn danh Tor tại Nga đang phát tán mã độc lên toàn bộ các tập tin thực thi được người dùng tải về. Khi duyệt web ẩn danh trên Tor, lưu lượng sẽ đi qua relay (thực chất cũng là một máy tính chạy một chương trình đặc biệt) ngẫu nhiên trong mạng Tor và sau đó trở lại mạng thông qua một trong các exit node được vận hành bởi tình nguyện viên.
Exit node giả mạo này đã bị chặn trên mạng Tor. Tuy nhiên, theo các chuyên gia, sau khi cài đặt thành công, mã độc này sẽ tự động tải về các thành phần độc hại bổ sung từ các máy chủ điều khiển (C&C).
“Chúng tôi nhận thấy nhiều thành phần độc hại được sử dụng để đánh cắp thông tin đăng nhập từ máy tính nạn nhân và thu thập thêm thông tin về các hệ thống bị xâm nhập, như phần mềm diệt virus hay tường lửa”, chuyên gia F-Secure cho biết.
Một trong các máy chủ C&C được sử dụng để phát tán mã độc được đăng ký dưới bí danh John Kasai vào năm 2011. Tại thời điểm đó, John Kasai cũng được dùng để đăng ký một số tên miền khác, bao gồm cả hai tên miền dùng trong chiến dịch gián điệp mạng MiniDuke.
Theo các chuyên gia: “Điều này rõ ràng cho thấy, mặc dù OnionDuke và MiniDuke là hai dòng mã độc riêng biệt, những tin tặc đứng sau các mã độc này có liên hệ với nhau và sử dụng chung cơ sở hạ tầng. Dựa trên mốc thời gian lập trình và ngày phát hiện ra các mẫu malware, chúng tôi cho rằng tin tặc đã tiến hành lây nhiễm mã độc ít nhất từ cuối tháng 10/2013”.
Ít nhất từ tháng 2/2014, OnionDuke cũng được phát tán thông qua các đoạn mã thực thi trong các phần mềm lậu được tải qua BitTorrent.
Các nhà nghiên cứu F-Secure đã tìm thấy bằng chứng cho thấy, giống như MiniDuke, OnionDuke cũng được sử dụng trong các cuộc tấn công có chủ đích nhắm vào các cơ quan chính phủ Châu Âu. Tuy nhiên vẫn chưa xác định cụ thể những phương thức tấn công được sử dụng trong các chiến dịch.
Mã độc OnionDuke, bị nghi ngờ liên quan đến MiniDuke – mã độc gián điệp mạng có nguồn gốc từ Nga từng tấn công Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) và chính phủ các nước Châu Âu trước khi bị phát hiện vào tháng 2/2013.
Tháng 10/2014, chuyên gia Josh Pitts của Leviathan Security Group đã phát hiện một exit node trên mạng ẩn danh Tor tại Nga đang phát tán mã độc lên toàn bộ các tập tin thực thi được người dùng tải về. Khi duyệt web ẩn danh trên Tor, lưu lượng sẽ đi qua relay (thực chất cũng là một máy tính chạy một chương trình đặc biệt) ngẫu nhiên trong mạng Tor và sau đó trở lại mạng thông qua một trong các exit node được vận hành bởi tình nguyện viên.
Exit node giả mạo này đã bị chặn trên mạng Tor. Tuy nhiên, theo các chuyên gia, sau khi cài đặt thành công, mã độc này sẽ tự động tải về các thành phần độc hại bổ sung từ các máy chủ điều khiển (C&C).
“Chúng tôi nhận thấy nhiều thành phần độc hại được sử dụng để đánh cắp thông tin đăng nhập từ máy tính nạn nhân và thu thập thêm thông tin về các hệ thống bị xâm nhập, như phần mềm diệt virus hay tường lửa”, chuyên gia F-Secure cho biết.
Một trong các máy chủ C&C được sử dụng để phát tán mã độc được đăng ký dưới bí danh John Kasai vào năm 2011. Tại thời điểm đó, John Kasai cũng được dùng để đăng ký một số tên miền khác, bao gồm cả hai tên miền dùng trong chiến dịch gián điệp mạng MiniDuke.
Theo các chuyên gia: “Điều này rõ ràng cho thấy, mặc dù OnionDuke và MiniDuke là hai dòng mã độc riêng biệt, những tin tặc đứng sau các mã độc này có liên hệ với nhau và sử dụng chung cơ sở hạ tầng. Dựa trên mốc thời gian lập trình và ngày phát hiện ra các mẫu malware, chúng tôi cho rằng tin tặc đã tiến hành lây nhiễm mã độc ít nhất từ cuối tháng 10/2013”.
Ít nhất từ tháng 2/2014, OnionDuke cũng được phát tán thông qua các đoạn mã thực thi trong các phần mềm lậu được tải qua BitTorrent.
Các nhà nghiên cứu F-Secure đã tìm thấy bằng chứng cho thấy, giống như MiniDuke, OnionDuke cũng được sử dụng trong các cuộc tấn công có chủ đích nhắm vào các cơ quan chính phủ Châu Âu. Tuy nhiên vẫn chưa xác định cụ thể những phương thức tấn công được sử dụng trong các chiến dịch.
Nguồn: Computer World
Chỉnh sửa lần cuối bởi người điều hành: