Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Nhóm gián điệp mạng BlackEnergy nhắm tới Linux và Cisco
Không dừng lại ở các máy Windows, nhóm gián điệp mạng hoạt động dựa trên mã độc BlackEnergy vừa mở rộng phạm vi tấn công nhắm vào các router và hệ thống Linux theo kiến trúc ARM và MIPS.
Trong báo cáo hãng an ninh mạng Kaspersky đưa ra vào ngày thứ hai, các chuyên gia Kaspersky công bố chi tiết một số module của malware BlackEnergy. Malware này được nhóm tin tặc xây dựng với mục đích ban đầu để thực hiện tấn công từ chối dịch vụ DDoS.
Các biến thể của BlackEnergy plug-in đã được nhóm gián điệp mạng phát triển để xâm nhập vào cả hệ thống Windows và Linux. Các plug-in này giúp bổ sung tính năng cho malware như quét cổng, lấy cắp mật khẩu, thu thập thông tin hệ thống, lấy cắp chứng thư số, kết nối từ xa và thậm chí là xóa dữ liệu ổ cứng.
Việc lựa chọn plug-in để khai thác từ server điều khiển sẽ phụ thuộc vào mục đích của tin tặc và hệ thống của nạn nhân.
Trong một vụ tấn công sử dụng BlackEnergy, tin tặc tải và thực thi một plug-in có tên dstr có chức năng phá hoại dữ liệu trên máy tính Windows của một tổ chức.
“Có thể thấy, tin tặc sẽ sử dụng module ‘dstr’ khi biết đã bị lộ, và muốn ẩn giấu sự hiện diện trên máy. Một vài máy tính của tổ chức này khi chạy plugin đã bị mất dữ liệu và không thể khởi động được”, các chuyên gia cho biết.
Trong một vụ việc khác dữ liệu trên một số máy Windows của một tổ chức cũng bị xóa và các máy này sau đó không thể truy cập vào các router Cisco qua giao thức telnet. Tiến hành điều tra, các chuyên gia phát hiện một vài đoạn script “tạm biệt” được nhóm gián điệp mạng BlackEnergy để lại trên các router.
Những script đó được tin tặc sử dụng để xóa dấu vết của mình trên các router bị xâm nhập. Một script có mô tả “extension Cisc0 API Tcl cho Black En3rgy b0t” và chứa thông điệp để lại của tin tặc.
Nhóm tin tặc này dường như đặc biệt thích thú với các tổ chức có hệ thống điều khiển công nghiệp, đặc biệt trong lĩnh vực năng lượng. Các nạn nhân được thống kê bao gồm nhà máy năng lượng, công ty sản xuất thiết bị năng lượng, các nhà cung cấp và sản xuất nguyên liệu liên quan đến năng lượng và các nhà đầu tư lĩnh vực năng lượng.
Kết quả điều tra nói trên phù hợp với phát hiện gần đây của ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) thuộc Bộ an ninh nội địa Hoa Kỳ. Trong một cảnh báo an ninh tuần trước, ICS-CERT cho biết hệ thống của các công ty sử dụng sản phẩm HMI (giao diện người-máy) của General Electric, Siemens và BroadWin/Advantech đã bị lây nhiễm BlackEnergy. HMI là các ứng dụng phần mềm cung cấp giao diện người dùng đồ họa để giám sát và tương tác với hệ thống điều khiển công nghiệp.
Ngoài sự chú ý đặc biệt đối với các công ty có hệ thống điều khiển công nghiệp (ICS), nhóm tin tặc cũng từng nhắm tới các tổ chức chính phủ cấp cao, cơ quan thành phố, các dịch vụ khẩn cấp liên bang, cơ quan tiêu chuẩn quốc gia, ngân hàng, tổ chức nghiên cứu khoa học, tổ chức nắm giữ tài sản và các tổ chức khác. Các nạn nhân được xác định tại ít nhất 20 quốc gia.
Ngày 14/10, các chuyên gia của iSight Partners đưa ra báo cáo về một trong các chiến dịch tấn công gần đây của nhóm nhắm vào chính phủ Ukraina và tổ chức đặt tại Mỹ thông qua khai thác lỗ hổng zero-day trên Windows.
Các chuyên gia iSight gọi tên nhóm gián điệp mạng này là Sandworm và cho rằng nhóm đang hoạt động ngoài nước Nga. Tuy nhiên, các chuyên gia Kaspersky cho biết chưa rõ hoạt động của nhóm này nhằm phục vụ cho lợi ích của ai, đồng thời cho biết nhóm đã từng thực hiện một cuộc tấn công DDoS nhắm tới một địa chỉ IP thuộc Bộ Quốc phòng Nga.
Trong báo cáo hãng an ninh mạng Kaspersky đưa ra vào ngày thứ hai, các chuyên gia Kaspersky công bố chi tiết một số module của malware BlackEnergy. Malware này được nhóm tin tặc xây dựng với mục đích ban đầu để thực hiện tấn công từ chối dịch vụ DDoS.
Các biến thể của BlackEnergy plug-in đã được nhóm gián điệp mạng phát triển để xâm nhập vào cả hệ thống Windows và Linux. Các plug-in này giúp bổ sung tính năng cho malware như quét cổng, lấy cắp mật khẩu, thu thập thông tin hệ thống, lấy cắp chứng thư số, kết nối từ xa và thậm chí là xóa dữ liệu ổ cứng.
Việc lựa chọn plug-in để khai thác từ server điều khiển sẽ phụ thuộc vào mục đích của tin tặc và hệ thống của nạn nhân.
Trong một vụ tấn công sử dụng BlackEnergy, tin tặc tải và thực thi một plug-in có tên dstr có chức năng phá hoại dữ liệu trên máy tính Windows của một tổ chức.
“Có thể thấy, tin tặc sẽ sử dụng module ‘dstr’ khi biết đã bị lộ, và muốn ẩn giấu sự hiện diện trên máy. Một vài máy tính của tổ chức này khi chạy plugin đã bị mất dữ liệu và không thể khởi động được”, các chuyên gia cho biết.
Trong một vụ việc khác dữ liệu trên một số máy Windows của một tổ chức cũng bị xóa và các máy này sau đó không thể truy cập vào các router Cisco qua giao thức telnet. Tiến hành điều tra, các chuyên gia phát hiện một vài đoạn script “tạm biệt” được nhóm gián điệp mạng BlackEnergy để lại trên các router.
Những script đó được tin tặc sử dụng để xóa dấu vết của mình trên các router bị xâm nhập. Một script có mô tả “extension Cisc0 API Tcl cho Black En3rgy b0t” và chứa thông điệp để lại của tin tặc.
Nhóm tin tặc này dường như đặc biệt thích thú với các tổ chức có hệ thống điều khiển công nghiệp, đặc biệt trong lĩnh vực năng lượng. Các nạn nhân được thống kê bao gồm nhà máy năng lượng, công ty sản xuất thiết bị năng lượng, các nhà cung cấp và sản xuất nguyên liệu liên quan đến năng lượng và các nhà đầu tư lĩnh vực năng lượng.
Kết quả điều tra nói trên phù hợp với phát hiện gần đây của ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) thuộc Bộ an ninh nội địa Hoa Kỳ. Trong một cảnh báo an ninh tuần trước, ICS-CERT cho biết hệ thống của các công ty sử dụng sản phẩm HMI (giao diện người-máy) của General Electric, Siemens và BroadWin/Advantech đã bị lây nhiễm BlackEnergy. HMI là các ứng dụng phần mềm cung cấp giao diện người dùng đồ họa để giám sát và tương tác với hệ thống điều khiển công nghiệp.
Ngoài sự chú ý đặc biệt đối với các công ty có hệ thống điều khiển công nghiệp (ICS), nhóm tin tặc cũng từng nhắm tới các tổ chức chính phủ cấp cao, cơ quan thành phố, các dịch vụ khẩn cấp liên bang, cơ quan tiêu chuẩn quốc gia, ngân hàng, tổ chức nghiên cứu khoa học, tổ chức nắm giữ tài sản và các tổ chức khác. Các nạn nhân được xác định tại ít nhất 20 quốc gia.
Ngày 14/10, các chuyên gia của iSight Partners đưa ra báo cáo về một trong các chiến dịch tấn công gần đây của nhóm nhắm vào chính phủ Ukraina và tổ chức đặt tại Mỹ thông qua khai thác lỗ hổng zero-day trên Windows.
Các chuyên gia iSight gọi tên nhóm gián điệp mạng này là Sandworm và cho rằng nhóm đang hoạt động ngoài nước Nga. Tuy nhiên, các chuyên gia Kaspersky cho biết chưa rõ hoạt động của nhóm này nhằm phục vụ cho lợi ích của ai, đồng thời cho biết nhóm đã từng thực hiện một cuộc tấn công DDoS nhắm tới một địa chỉ IP thuộc Bộ Quốc phòng Nga.
Nguồn: Computerworld
Chỉnh sửa lần cuối bởi người điều hành: