WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Nhóm gián điệp Darkhotel hướng tới các mục tiêu sang trọng
Các chuyên gia an ninh mạng vừa thông báo về một hoạt động gián điệp sử dụng mạng tại các khách sạn để theo dõi, nhắm mục tiêu vào các ngành công nghiệp khác nhau ít nhất từ năm 2010, thậm chí một vài công cụ được sử dụng từ 2007.
Nhóm gián điệp Darkhotel được đầu tư và có mục tiêu rõ ràng, sẵn sàng khai thác các lỗ hổng zero-day (trong các sản phẩm Internet Explorer và Adobe) để thực hiện tấn công ngay cả khi nguy cơ bị phát hiện cao.
Hình thức Spear-phishing được sử dụng
Các chuyên gia an ninh mạng cho biết nạn nhân gồm các CEO, phó chủ tịch, giám đốc kinh doanh, marketing và top các nhà nghiên cứu, phát triển từ các công ty kinh doanh hoặc gia công ở khu vực Châu Á – Thái Bình Dương.
Hình thức lừa đảo này nhắm đến các ngành công nghiệp như sản xuất điện tử, ô tô, dược, đầu tư, các công ty cổ phần tư nhân, các cơ sở công nghiệp quốc phòng cũng như các tổ chức phi chính phủ khác.
Darkhotel, hay còn được biết đến với tên Tapaoux, xác định nạn nhân và thực hiện tấn công bằng việc chèn iframe độc vào cổng đăng nhập web của khách sạn. Các iFrame này sẽ cài mã độc vào máy dưới vỏ bọc là các bản update cho phần mềm
Theo báo cáo từ Kaspersky, nhóm hacker này dường như biết khi nào các nạn nhân sẽ đến và đi từ các khách sạn cao cấp. Vì vậy hacker chỉ chờ tới khi nạn nhân đến và thực hiện kết nối Internet để hành động.
Sau khi nạn nhân trả phòng khách sạn, tất cả đấu vết của các công cụ được sử dụng đều sẽ được xóa bỏ, vì vậy các hoạt động sẽ không thể phát hiện.
Cơ sở hạ tầng yếu kém trái ngược với phương pháp tấn công được sử dụng
Theo quan sát, công cụ được sử dụng nhiều nhất là công cụ keylogger khá hiện đại, ngoài ra còn có downloader, spyware và trojan. Chúng được phát hiện dưới các tên Tapaoux, Pioneer, Karba và Nemim.
Cũng theo bản báo cáo: “Trái ngược với các kỹ thuật và công cụ tấn công được sử dụng, mã độc dường như chỉ tấn công các cơ sở hạ tầng có cấu hình máy chủ yếu và cơ chế quản lý, phòng thủ hạn chế tồn tại một số lỗi cơ bản”.
Các chuyên gia an ninh mạng chỉ ra hầu hếu mục tiêu nhắm tới nằm tại Nhật, Đài Loan, Trung Quốc, Nga, Hàn Quốc và HongKong. Tuy nhiên cũng đã có mục tiêu được ghi nhận tại Nga, Hoa Kỳ, Đức, Ireland, và Ấn Độ.
Nguồn: Softpedia
Nhóm gián điệp Darkhotel được đầu tư và có mục tiêu rõ ràng, sẵn sàng khai thác các lỗ hổng zero-day (trong các sản phẩm Internet Explorer và Adobe) để thực hiện tấn công ngay cả khi nguy cơ bị phát hiện cao.
Hình thức Spear-phishing được sử dụng
Các chuyên gia an ninh mạng cho biết nạn nhân gồm các CEO, phó chủ tịch, giám đốc kinh doanh, marketing và top các nhà nghiên cứu, phát triển từ các công ty kinh doanh hoặc gia công ở khu vực Châu Á – Thái Bình Dương.
Hình thức lừa đảo này nhắm đến các ngành công nghiệp như sản xuất điện tử, ô tô, dược, đầu tư, các công ty cổ phần tư nhân, các cơ sở công nghiệp quốc phòng cũng như các tổ chức phi chính phủ khác.
Darkhotel, hay còn được biết đến với tên Tapaoux, xác định nạn nhân và thực hiện tấn công bằng việc chèn iframe độc vào cổng đăng nhập web của khách sạn. Các iFrame này sẽ cài mã độc vào máy dưới vỏ bọc là các bản update cho phần mềm
Theo báo cáo từ Kaspersky, nhóm hacker này dường như biết khi nào các nạn nhân sẽ đến và đi từ các khách sạn cao cấp. Vì vậy hacker chỉ chờ tới khi nạn nhân đến và thực hiện kết nối Internet để hành động.
Sau khi nạn nhân trả phòng khách sạn, tất cả đấu vết của các công cụ được sử dụng đều sẽ được xóa bỏ, vì vậy các hoạt động sẽ không thể phát hiện.
Cơ sở hạ tầng yếu kém trái ngược với phương pháp tấn công được sử dụng
Theo quan sát, công cụ được sử dụng nhiều nhất là công cụ keylogger khá hiện đại, ngoài ra còn có downloader, spyware và trojan. Chúng được phát hiện dưới các tên Tapaoux, Pioneer, Karba và Nemim.
Cũng theo bản báo cáo: “Trái ngược với các kỹ thuật và công cụ tấn công được sử dụng, mã độc dường như chỉ tấn công các cơ sở hạ tầng có cấu hình máy chủ yếu và cơ chế quản lý, phòng thủ hạn chế tồn tại một số lỗi cơ bản”.
Các chuyên gia an ninh mạng chỉ ra hầu hếu mục tiêu nhắm tới nằm tại Nhật, Đài Loan, Trung Quốc, Nga, Hàn Quốc và HongKong. Tuy nhiên cũng đã có mục tiêu được ghi nhận tại Nga, Hoa Kỳ, Đức, Ireland, và Ấn Độ.
Nguồn: Softpedia