WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Phát hiện chiến dịch gián điệp mạng nhằm vào các nước Liên Xô cũ
Hãng bảo mật Symantec tuyên bố phát hiện một chiến dịch gián điệp sử dụng malware đang tấn công vào hệ thống mạng một loạt đại sứ quán và chính phủ các nước Liên Xô cũ, cùng một số mục tiêu ở châu Âu.
Sử dụng các biện pháp khai thác, lừa người dùng tự tải malware hoặc cài cắm vào các website, bước đầu tiên tin tặc sẽ tiến hành lây nhiễm vào hệ thống nạn nhân 1 chương trình có tên Wipbot. Chương trình này có chức năng trinh sát, thu thập thông tin về hệ thống và chỉ tấn công các hệ thống tương ứng với một địa chỉ Internet nhất định. Sau khi mục tiêu được xác nhận là phù hợp, chương trình thứ hai có tên Turla, Uroburos hay Snake sẽ được tải về để tiếp tục tấn công hệ thống sâu rộng hơn, ăn cắp dữ liệu và giả mạo thông tin truyền đi dưới dạng request của trình duyệt.
Kiểu tấn công hai bước này có tất cả các biểu hiện của một chiến dịch gián điệp ở cấp quốc gia và đang nhắm vào đại sứ quán các nước Đông Âu, Trung Quốc và Jordan, Symantec khẳng định.
“Wipbot được sử dụng như một công cụ trinh sát ở giai đoạn đầu, và nếu nạn nhân được xác định là có giá trị khai thác cao thì Turla sẽ được triển khai”, nhà nghiên cứu Vikram Thakur của Symantec nhấn mạnh. “Chúng tôi nhận thấy một số điểm tương đồng về kỹ thuật giữa hai malware cho thấy chúng có thể được phát triển bởi những người trong cùng một tổ chức”.
Turla là dòng malware không mới và đã tham gia vào một loạt các chiến dịch gián điệp trong ít nhất 4 năm qua. Hồi tháng 3, hãng bảo mật G-Data và BAE Systems cũng phát hiện một chiến dịch sử dụng Turla nhằm vào các mục tiêu tại Hoa Kỳ và châu Âu.
Turla còn có nhiều đặc điểm khiến các nhà nghiên cứu liên tưởng đến dòng malware Agent.BTZ lây lan qua USB và từng lây tràn lan trong bộ quốc phòng Hoa Kỳ. Symantec không trực tiếp đề cập đến quốc gia nào đứng sau chiến dịch này nhưng cho biết một số thành phần của malware được viết ra trên múi giờ UTC+4. Cả Moscow và St. Petersburg, hai thành phố của Nga, đều nằm trên múi giờ này.
Symantec đã gửi thông báo tới đơn vị ứng cứu máy tính của các nước bị ảnh hưởng trước khi cho công bố phân tích của mình.
Nguồn: Arstechnica
Sử dụng các biện pháp khai thác, lừa người dùng tự tải malware hoặc cài cắm vào các website, bước đầu tiên tin tặc sẽ tiến hành lây nhiễm vào hệ thống nạn nhân 1 chương trình có tên Wipbot. Chương trình này có chức năng trinh sát, thu thập thông tin về hệ thống và chỉ tấn công các hệ thống tương ứng với một địa chỉ Internet nhất định. Sau khi mục tiêu được xác nhận là phù hợp, chương trình thứ hai có tên Turla, Uroburos hay Snake sẽ được tải về để tiếp tục tấn công hệ thống sâu rộng hơn, ăn cắp dữ liệu và giả mạo thông tin truyền đi dưới dạng request của trình duyệt.
Kiểu tấn công hai bước này có tất cả các biểu hiện của một chiến dịch gián điệp ở cấp quốc gia và đang nhắm vào đại sứ quán các nước Đông Âu, Trung Quốc và Jordan, Symantec khẳng định.
“Wipbot được sử dụng như một công cụ trinh sát ở giai đoạn đầu, và nếu nạn nhân được xác định là có giá trị khai thác cao thì Turla sẽ được triển khai”, nhà nghiên cứu Vikram Thakur của Symantec nhấn mạnh. “Chúng tôi nhận thấy một số điểm tương đồng về kỹ thuật giữa hai malware cho thấy chúng có thể được phát triển bởi những người trong cùng một tổ chức”.
Turla là dòng malware không mới và đã tham gia vào một loạt các chiến dịch gián điệp trong ít nhất 4 năm qua. Hồi tháng 3, hãng bảo mật G-Data và BAE Systems cũng phát hiện một chiến dịch sử dụng Turla nhằm vào các mục tiêu tại Hoa Kỳ và châu Âu.
Turla còn có nhiều đặc điểm khiến các nhà nghiên cứu liên tưởng đến dòng malware Agent.BTZ lây lan qua USB và từng lây tràn lan trong bộ quốc phòng Hoa Kỳ. Symantec không trực tiếp đề cập đến quốc gia nào đứng sau chiến dịch này nhưng cho biết một số thành phần của malware được viết ra trên múi giờ UTC+4. Cả Moscow và St. Petersburg, hai thành phố của Nga, đều nằm trên múi giờ này.
Symantec đã gửi thông báo tới đơn vị ứng cứu máy tính của các nước bị ảnh hưởng trước khi cho công bố phân tích của mình.
Nguồn: Arstechnica
Chỉnh sửa lần cuối bởi người điều hành: