WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tin tặc Nga tấn công các nước NATO qua lỗ hổng zero-day trong Java
Nhóm tội phạm mạng "Pawn Storm" đã khai thác một lỗ hổng zero-day bất thường trong Java để thực hiện các cuộc tấn công drive-by-download vào các nước thuộc khối Quân Sự Bắc Đại Tây Dương và các công ty quốc phòng của Mỹ - Trend Micro cho biết.
Chủ nhật vừa qua, hãng này cho hay đã thấy sự xuất hiện trở lại của Pawn Storm sau khi tìm thấy một loạt các email giả mạo chứa các liên kết có liên quan đến cách thức khai thác lỗ hổng này trong Java. Các nhà nghiên cứu cũng cho biết đã có một vài thay đổi nhỏ trong chiến thuật tấn công vào Nhà Trắng và thành viên khối NATO vào tháng Tư vừa qua, khi các địa chỉ được gửi qua email không chứa công cụ khai thác.
Nhóm tin tặc này, được cho là có mối quan hệ mật thiết với điện Kremlin, đã sử dụng lỗ hổng an ninh mới nhất chưa được vá trong Oracle Java, được biết đến lần đầu tiên vào năm 2013.
Lỗ hổng này ảnh hưởng nghiêm trọng đến phiên bản mới nhất của Java - Java 8, Update 45 (hay còn gọi là Java 1.8.0.45) - vừa được ra mắt trong tháng Tư. Một điểm đáng ngạc nhiên là lỗ hổng này không ảnh hưởng đến các phiên bản 6 và 7 của Java cho dù hai phiên bản này không còn nhận được bản vá an ninh từ Oracle.
Pawn Storm (cũng được gọi là APT28) đã tấn công các tổ chức nhà nước và chính phủ từ năm 2007, thông thường nhóm này sẽ sử dụng những sự kiện hoặc hội nghị chính trị để lừa nạn nhân qua các email giả mạo. Điển hình như trước đây, nhóm này đã từng gửi thư mời giả mạo đến những nhân vật cấp cao để tham dự Diễn Đàn Hợp Tác Kinh Tế Châu Á-Thái Bình Dương và Hội Nghị Thượng Đỉnh An Ninh Trung Đông với mục đích lây nhiễm mã độc khi họ nhấp vào các liên kết trong email.
Trong cuộc tấn công mới nhất, mã độc thực thi mã tùy ý trên phần cài đặt mặc định của Java khi đã bị khai thác, sau đó phá hủy cơ chế an ninh của hệ thống.
Pawn Storm được cho là đã nhiều lần có liên kết với chính phủ Nga, và xu hướng tấn công chủ yếu của nhóm thường tập trung vào các tổ chức công nghiệp quốc phòng, quân đội, cơ quan chính phủ và các nhà làm phim bằng cách sử dụng mã độc Sednit để đánh cắp thông tin nhạy cảm từ nạn nhân.
Trong những tháng gần đây, nhóm này được cho là đã tấn công các nhà hoạt động người Ukraine, và đài truyền hình Pháp TV5Monde.
Kevin Epstein, Phó chủ tịch về an ninh và quản trị của Proofpoint, cho biết: “Những kẻ phá hoại vẫn tiếp tục sử dụng hình thức giả mạo để bắt đầu các cuộc tấn công vì nó vẫn còn hiệu quả; nghiên cứu về Yếu Tố Con Người của Proofpoint cũng chỉ ra mục tiêu cuối cùng của các nhóm tin tặc là lừa người dùng nhấn vào các liên kết giả mạo. Các tổ chức cần phải sử dụng một hệ thống phòng thủ an ninh tiên tiến đáp ứng được các tiêu chuẩn bảo vệ hiện nay trước khả năng trở thành mục tiêu của các cuộc tấn công vào hệ thống”.
James Maude, kĩ sư an ninh tại Avecto có ý kiến cho rằng tin tức nổi bật trong tuần này về các lỗ hổng zero-day trong Adobe Flash và Java gây ra nhiều quan ngại cho các công ty phụ thuộc vào các bản vá và phần mềm an ninh để bảo vệ thiết bị đầu cuối của mình.
Maude cũng cho biết thêm, hầu hết các lỗ hổng CVE hiện nay mà tin tặc khai thác đã được biết đến từ hơn một năm trước. "Khi đề cập đến việc quản lý bản vá cho các lỗ hổng zero-day, các bản cập nhật thường nhật và cập nhật phần mềm an ninh đều mắc cùng một lỗi, tất cả chỉ được thực hiện sau khi một cuộc tấn công nào đó được thực hiện thành công. Chiến lược phòng thủ truyền thống không còn đủ khả năng bảo vệ các thiết bị đầu cuối, chúng cần được hổ trợ bằng những công nghệ chủ động tiên tiến cung cấp các lớp an ninh để bảo vệ các tổ chức trước khi cập nhật bản vá lỗi.
Chủ nhật vừa qua, hãng này cho hay đã thấy sự xuất hiện trở lại của Pawn Storm sau khi tìm thấy một loạt các email giả mạo chứa các liên kết có liên quan đến cách thức khai thác lỗ hổng này trong Java. Các nhà nghiên cứu cũng cho biết đã có một vài thay đổi nhỏ trong chiến thuật tấn công vào Nhà Trắng và thành viên khối NATO vào tháng Tư vừa qua, khi các địa chỉ được gửi qua email không chứa công cụ khai thác.
Nhóm tin tặc này, được cho là có mối quan hệ mật thiết với điện Kremlin, đã sử dụng lỗ hổng an ninh mới nhất chưa được vá trong Oracle Java, được biết đến lần đầu tiên vào năm 2013.
Lỗ hổng này ảnh hưởng nghiêm trọng đến phiên bản mới nhất của Java - Java 8, Update 45 (hay còn gọi là Java 1.8.0.45) - vừa được ra mắt trong tháng Tư. Một điểm đáng ngạc nhiên là lỗ hổng này không ảnh hưởng đến các phiên bản 6 và 7 của Java cho dù hai phiên bản này không còn nhận được bản vá an ninh từ Oracle.
Pawn Storm (cũng được gọi là APT28) đã tấn công các tổ chức nhà nước và chính phủ từ năm 2007, thông thường nhóm này sẽ sử dụng những sự kiện hoặc hội nghị chính trị để lừa nạn nhân qua các email giả mạo. Điển hình như trước đây, nhóm này đã từng gửi thư mời giả mạo đến những nhân vật cấp cao để tham dự Diễn Đàn Hợp Tác Kinh Tế Châu Á-Thái Bình Dương và Hội Nghị Thượng Đỉnh An Ninh Trung Đông với mục đích lây nhiễm mã độc khi họ nhấp vào các liên kết trong email.
Trong cuộc tấn công mới nhất, mã độc thực thi mã tùy ý trên phần cài đặt mặc định của Java khi đã bị khai thác, sau đó phá hủy cơ chế an ninh của hệ thống.
Pawn Storm được cho là đã nhiều lần có liên kết với chính phủ Nga, và xu hướng tấn công chủ yếu của nhóm thường tập trung vào các tổ chức công nghiệp quốc phòng, quân đội, cơ quan chính phủ và các nhà làm phim bằng cách sử dụng mã độc Sednit để đánh cắp thông tin nhạy cảm từ nạn nhân.
Trong những tháng gần đây, nhóm này được cho là đã tấn công các nhà hoạt động người Ukraine, và đài truyền hình Pháp TV5Monde.
Kevin Epstein, Phó chủ tịch về an ninh và quản trị của Proofpoint, cho biết: “Những kẻ phá hoại vẫn tiếp tục sử dụng hình thức giả mạo để bắt đầu các cuộc tấn công vì nó vẫn còn hiệu quả; nghiên cứu về Yếu Tố Con Người của Proofpoint cũng chỉ ra mục tiêu cuối cùng của các nhóm tin tặc là lừa người dùng nhấn vào các liên kết giả mạo. Các tổ chức cần phải sử dụng một hệ thống phòng thủ an ninh tiên tiến đáp ứng được các tiêu chuẩn bảo vệ hiện nay trước khả năng trở thành mục tiêu của các cuộc tấn công vào hệ thống”.
James Maude, kĩ sư an ninh tại Avecto có ý kiến cho rằng tin tức nổi bật trong tuần này về các lỗ hổng zero-day trong Adobe Flash và Java gây ra nhiều quan ngại cho các công ty phụ thuộc vào các bản vá và phần mềm an ninh để bảo vệ thiết bị đầu cuối của mình.
Maude cũng cho biết thêm, hầu hết các lỗ hổng CVE hiện nay mà tin tặc khai thác đã được biết đến từ hơn một năm trước. "Khi đề cập đến việc quản lý bản vá cho các lỗ hổng zero-day, các bản cập nhật thường nhật và cập nhật phần mềm an ninh đều mắc cùng một lỗi, tất cả chỉ được thực hiện sau khi một cuộc tấn công nào đó được thực hiện thành công. Chiến lược phòng thủ truyền thống không còn đủ khả năng bảo vệ các thiết bị đầu cuối, chúng cần được hổ trợ bằng những công nghệ chủ động tiên tiến cung cấp các lớp an ninh để bảo vệ các tổ chức trước khi cập nhật bản vá lỗi.
Nguồn: SC Magazine