WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Tin tặc tấn công phố Wall, lấy cắp nhiều thông tin mật
Hãng an ninh mạng FireEye vừa công bố một vụ tấn công nhắm vào hơn 100 tổ chức tài chính tại Hoa Kỳ nhằm đánh cắp thông tin nội bộ về các doanh nghiệp trên thị trường chứng khoán.
Nhóm tin tặc có tên FIN4 được ghi nhận bắt đầu hoạt động từ giữa năm 2013. 68% công ty nằm trong tầm ngắm của nhóm là các doanh nghiệp trong lĩnh vực y tế - dược phẩm, khoảng 20% khác là các doanh nghiệp tư vấn về chứng khoán, pháp lý, mua bán - sáp nhập.
“FIN4” là cái tên được FireEye đặt cho nhóm này do hãng đánh giá động cơ tấn công là vì mục tiêu tài chính (finance).
Ở thời điểm hiện tại, chưa thể xác định được nhóm FIN4 đã trục lợi được bao nhiêu tiền từ hoạt động của mình, tuy nhiên FireEye khẳng định nhóm đã truy cập được một số lượng đáng kể các thông tin nội bộ có giá trị. Những thông tin này có thể giúp ích rất nhiều trên thị trường chứng khoán, ví dụ như giúp biết trước cổ phiếu nào sắp lên giá để mua vào.
“Lượng thông tin nội bộ cộng với các thông tin đăng nhập mà tin tặc lấy cắp được là rất nhiều, và chắc chắn sẽ cho chúng một lợi thế lớn so với nhà đầu tư bình thường”, FireEye cho biết.
FIN4 sử dụng các kỹ thuật tấn công khá đơn giản, phổ biến nhưng hiệu quả để lừa người dùng cung cấp thông tin đăng nhập vào tài khoản công vụ. Một trong số đó là kỹ thuật “vũ trang hóa” các file tài liệu. Một file tài liệu được “vũ trang hóa” trông hoàn toàn vô hại do được lấy cắp trực tiếp từ hộp thư của nạn nhân, thường là một nhân viên trong doanh nghiệp, sau đó được chèn thêm mã độc hoặc trojan có khả năng ghi lại toàn bộ username và mật khẩu mà người dùng nhập. FIN4 sau đó sẽ gửi tài liệu này đến một nhóm người nhận có khả năng tiếp cận được các thông tin nội bộ.
Thông thường, malware không được cài cố định lên máy nạn nhân. Do tiếp cận được nội dung mail nên FIN4 có thể tạo ra các thông điệp độc hại với nội dung rất thuyết phục và gửi đi trong dòng trao đổi email giữa nhiều người dùng, khiến nạn nhân mất cảnh giác.
Mã độc được FIN4 sử dụng lợi dụng chức năng Microsoft Visual Basic (VBA) macro từng được sử dụng bởi tin tặc trong vụ tấn công virus macro Melissa và ILOVEYOU hồi năm 1999-2000. Từ đầu năm 2014 đến nay, nhiều đơn vị an ninh mạng đã báo cáo về sự quay trở lại ngày càng nhiều của loại mã độc sử dụng VBA macro.
Để đối phó với FIN4, FireEye khuyến nghị người dùng nên vô hiệu hóa chức năng VBA macro được thiết lập mặc định trên Microsoft Office. Ngoài ra, thiết lập mail server chặn các tên miền của FIN4 và sử dụng xác thực hai bước trong đăng nhập Webmail từ xa cũng sẽ giúp hạn chế nguy cơ.
Hiện FireEye đã cung cấp thông tin và kết quả nghiên cứu của mình cho cơ quan hành pháp mở rộng điều tra.
Nguồn: eWeek
Nhóm tin tặc có tên FIN4 được ghi nhận bắt đầu hoạt động từ giữa năm 2013. 68% công ty nằm trong tầm ngắm của nhóm là các doanh nghiệp trong lĩnh vực y tế - dược phẩm, khoảng 20% khác là các doanh nghiệp tư vấn về chứng khoán, pháp lý, mua bán - sáp nhập.
“FIN4” là cái tên được FireEye đặt cho nhóm này do hãng đánh giá động cơ tấn công là vì mục tiêu tài chính (finance).
Ở thời điểm hiện tại, chưa thể xác định được nhóm FIN4 đã trục lợi được bao nhiêu tiền từ hoạt động của mình, tuy nhiên FireEye khẳng định nhóm đã truy cập được một số lượng đáng kể các thông tin nội bộ có giá trị. Những thông tin này có thể giúp ích rất nhiều trên thị trường chứng khoán, ví dụ như giúp biết trước cổ phiếu nào sắp lên giá để mua vào.
“Lượng thông tin nội bộ cộng với các thông tin đăng nhập mà tin tặc lấy cắp được là rất nhiều, và chắc chắn sẽ cho chúng một lợi thế lớn so với nhà đầu tư bình thường”, FireEye cho biết.
FIN4 sử dụng các kỹ thuật tấn công khá đơn giản, phổ biến nhưng hiệu quả để lừa người dùng cung cấp thông tin đăng nhập vào tài khoản công vụ. Một trong số đó là kỹ thuật “vũ trang hóa” các file tài liệu. Một file tài liệu được “vũ trang hóa” trông hoàn toàn vô hại do được lấy cắp trực tiếp từ hộp thư của nạn nhân, thường là một nhân viên trong doanh nghiệp, sau đó được chèn thêm mã độc hoặc trojan có khả năng ghi lại toàn bộ username và mật khẩu mà người dùng nhập. FIN4 sau đó sẽ gửi tài liệu này đến một nhóm người nhận có khả năng tiếp cận được các thông tin nội bộ.
Thông thường, malware không được cài cố định lên máy nạn nhân. Do tiếp cận được nội dung mail nên FIN4 có thể tạo ra các thông điệp độc hại với nội dung rất thuyết phục và gửi đi trong dòng trao đổi email giữa nhiều người dùng, khiến nạn nhân mất cảnh giác.
Mã độc được FIN4 sử dụng lợi dụng chức năng Microsoft Visual Basic (VBA) macro từng được sử dụng bởi tin tặc trong vụ tấn công virus macro Melissa và ILOVEYOU hồi năm 1999-2000. Từ đầu năm 2014 đến nay, nhiều đơn vị an ninh mạng đã báo cáo về sự quay trở lại ngày càng nhiều của loại mã độc sử dụng VBA macro.
Để đối phó với FIN4, FireEye khuyến nghị người dùng nên vô hiệu hóa chức năng VBA macro được thiết lập mặc định trên Microsoft Office. Ngoài ra, thiết lập mail server chặn các tên miền của FIN4 và sử dụng xác thực hai bước trong đăng nhập Webmail từ xa cũng sẽ giúp hạn chế nguy cơ.
Hiện FireEye đã cung cấp thông tin và kết quả nghiên cứu của mình cho cơ quan hành pháp mở rộng điều tra.
Nguồn: eWeek