WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phần mềm gián điệp Duqu sử dụng chứng chỉ ăn cắp của Foxconn
Kẻ tấn công nhắm mục tiêu vào các nhà sản xuất phần cứng nhằm đánh cắp thông tin kỹ thuật số.
Nghiên cứu mã độc phức tạp được sử dụng để hack các khách sạn nơi diễn ra tọa đàm hạt nhân Iran cho thấy mã độc này đã lợi dụng những thông tin kỹ thuật số đánh cắp được từ nhà sản xuất điện tử Foxconn.
Nghiên cứu của Kaspersky Lab chỉ ra rằng mã độc Duqu 2.0 chuyển hướng lưu lượng bằng cách sử dụng một chứng chỉ số hợp lệ từ Foxconn Đài Loan.
“Bằng cách sử dụng chứng chỉ hợp lệ để cài driver độc hại lên firewall, gateway hoặc bất kỳ server kết nối với hệ thống của doanh nghiệp đồng thời có quyền truy cập Internet, tin tặc có thể giấu mã độc Duqu 2.0 vượt qua các giải pháp an ninh và chuyển hướng lưu lượng đến các cổng đặc biệt. Bằng cách sử dụng các chứng chỉ này để đăng nhập vào các driver độc hại, tin tặc có thể truy nhập hạ tầng nội bộ từ Internet, tránh được các bản ghi log trên máy chủ proxy của doanh nghiệp”, Kaspersky cho biết.
Một báo cáo được công bố vào tuần trước cho biết Kaspersky phát hiện virus trong thiết bị hội thảo tại ba khách sạn Châu Âu tổ chức các cuộc tọa đàm P5+1 liên quan đến Iran và 6 cường quốc này, cùng các mục tiêu khác.
Chứng chỉ số là thông tin xác định máy tính là hợp lệ trên hệ thống mạng, đồng thời xác thực và mã hóa lưu lượng của thiết bị đó.
Trong những năm gần đây, gián điệp mạng bắt đầu khai thác các chứng chỉ bị mất cắp để đánh lừa các thiết bị tin rằng phần mềm độc hại có nguồn gốc từ các máy tính hợp lệ.
Tấn công có mục tiêu
Nhóm P5+1 bao gồm 6 cường quốc, Mỹ, Nga, Trung Quốc, Anh, Pháp và Đức, đang thương lượng với Iran về chương trình hạt nhân của nước này.
Cả Kaspersky và Symantec đều cho rằng mã độc có cùng một vài yếu tố lập trình với Duqu, mã độc được cho là được phát triển bởi Israel.
Trong khi đó Israeal, quốc gia có mối quan hệ đối đầu với Iran, lại bác bỏ cáo buộc có liên quan đến mã độc này.
Các chuyên gia của 2 hãng cho biết có một sự khách biệt giữa Duqu và Stuxnet. Mã độc Stuxnet lợi dụng những chứng chỉ kỹ thuật số đánh cắp từ hai công ty lớn của Đài Loan là JMicron Technology và Realtek Semiconductor, theo báo cáo của Kaspersky năm 2010.
Kaspersky báo cáo: “Tin tặc đứng sau Duqu chính là những kẻ có khả năng truy nhập những chứng chỉ kỹ thuật số này. Điều này làm tăng giả thuyết chúng tấn công vào các hãng sản xuất phần cứng là nhằm mục đích chiếm lấy những chứng chỉ đó”.
Hãng cũng đã thông báo tình hình tới Foxconn về những thông tin bị mất. Foxconn hiện chưa đưa ra bất kỳ bình luận nào.
Tin bài liên quan:
Nhiều máy chủ của Kaspersky bị mã độc Duqu 2.0 tấn công
Nghiên cứu mã độc phức tạp được sử dụng để hack các khách sạn nơi diễn ra tọa đàm hạt nhân Iran cho thấy mã độc này đã lợi dụng những thông tin kỹ thuật số đánh cắp được từ nhà sản xuất điện tử Foxconn.
Nghiên cứu của Kaspersky Lab chỉ ra rằng mã độc Duqu 2.0 chuyển hướng lưu lượng bằng cách sử dụng một chứng chỉ số hợp lệ từ Foxconn Đài Loan.
“Bằng cách sử dụng chứng chỉ hợp lệ để cài driver độc hại lên firewall, gateway hoặc bất kỳ server kết nối với hệ thống của doanh nghiệp đồng thời có quyền truy cập Internet, tin tặc có thể giấu mã độc Duqu 2.0 vượt qua các giải pháp an ninh và chuyển hướng lưu lượng đến các cổng đặc biệt. Bằng cách sử dụng các chứng chỉ này để đăng nhập vào các driver độc hại, tin tặc có thể truy nhập hạ tầng nội bộ từ Internet, tránh được các bản ghi log trên máy chủ proxy của doanh nghiệp”, Kaspersky cho biết.
Một báo cáo được công bố vào tuần trước cho biết Kaspersky phát hiện virus trong thiết bị hội thảo tại ba khách sạn Châu Âu tổ chức các cuộc tọa đàm P5+1 liên quan đến Iran và 6 cường quốc này, cùng các mục tiêu khác.
Chứng chỉ số là thông tin xác định máy tính là hợp lệ trên hệ thống mạng, đồng thời xác thực và mã hóa lưu lượng của thiết bị đó.
Trong những năm gần đây, gián điệp mạng bắt đầu khai thác các chứng chỉ bị mất cắp để đánh lừa các thiết bị tin rằng phần mềm độc hại có nguồn gốc từ các máy tính hợp lệ.
Tấn công có mục tiêu
Nhóm P5+1 bao gồm 6 cường quốc, Mỹ, Nga, Trung Quốc, Anh, Pháp và Đức, đang thương lượng với Iran về chương trình hạt nhân của nước này.
Cả Kaspersky và Symantec đều cho rằng mã độc có cùng một vài yếu tố lập trình với Duqu, mã độc được cho là được phát triển bởi Israel.
Trong khi đó Israeal, quốc gia có mối quan hệ đối đầu với Iran, lại bác bỏ cáo buộc có liên quan đến mã độc này.
Các chuyên gia của 2 hãng cho biết có một sự khách biệt giữa Duqu và Stuxnet. Mã độc Stuxnet lợi dụng những chứng chỉ kỹ thuật số đánh cắp từ hai công ty lớn của Đài Loan là JMicron Technology và Realtek Semiconductor, theo báo cáo của Kaspersky năm 2010.
Kaspersky báo cáo: “Tin tặc đứng sau Duqu chính là những kẻ có khả năng truy nhập những chứng chỉ kỹ thuật số này. Điều này làm tăng giả thuyết chúng tấn công vào các hãng sản xuất phần cứng là nhằm mục đích chiếm lấy những chứng chỉ đó”.
Hãng cũng đã thông báo tình hình tới Foxconn về những thông tin bị mất. Foxconn hiện chưa đưa ra bất kỳ bình luận nào.
Nguồn: ITNews, NetWork World
Tin bài liên quan:
Nhiều máy chủ của Kaspersky bị mã độc Duqu 2.0 tấn công
Chỉnh sửa lần cuối bởi người điều hành: