Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
[Update] Cơ quan năng lượng Ukraina tiếp tục bị nhắm tới trong cuộc tấn công cài backdoor
Cập nhật ngày 22/01/2016: Sau vụ việc mất điện kéo dài vài giờ do ảnh hưởng của mã độc BlackEnergy thời gian gần đây, cơ quan năng lượng Ukraine tiếp tục bị nhắm tới bởi cuộc tấn công nhằm cài backdoor.
Các cuộc tấn công phishing nhắm vào cơ quan này để cài backdoor vào hệ thống máy tính. Tương tự kỹ thuật trong cuộc tấn công bằng BlackEnergy, tin tặc ẩn giấu backdoor nguồn mở GCat trong tập tin Microsoft XLS. (Nguồn: The Register)
Các chuyên gia vừa phát hiện Trojan phát tán các thành phần độc hại trong cuộc tấn công vào cơ quan truyền thông và cơ quan năng lượng tại Ukraina. Trojan này đã gây ra vụ việc mất điện kéo dài vài giờ tại vùng Ivano-Frankivsk (Ukraina) vào ngày 23/12 vừa qua.
BlackEnergy được nhận định là một công cụ đơn giản để thực hiện tấn công từ chối dịch vụ (DDoS) vào năm 2007. Sau đó trojan này đã phát triển phức tạp hơn với kết cấu module.
Vào năm 2014, các chuyên gia đã thông báo về việc BlackEnergy được sử dụng để theo dõi tình báo tại Ukraina và Ba Lan. Chỉ hơn 1 năm sau, các chuyên gia tiếp tục phát hiện BlackEnergy được sử dụng như một backdoor phát tán các thành phần độc hại trong các cuộc tấn công vào cơ quan năng lượng và truyền thông tại Ukraina.
Vào ngày 23/12 vừa qua, khoảng một nửa số hộ gia định tại vùng Ivano-Frankivsk, Ukraina bị mất điện trong vài giờ. Theo các hãng truyền thông TSN của nước này, nguyên nhân của vụ việc là do cuộc tấn công của tin tặc.
Theo hệ thống ghi nhận của các chuyên gia, vụ mất điện không riêng lẻ, mà cùng thời điểm đó, tin tặc cũng nhắm tới các cơ quan năng lượng khác tại Ukraina.
Trong các cuộc tấn công, thành phần “KillDisk” có nhiệm vụ phá hoại hệ thống đích sẽ được tải về và thực thi trên các máy tính bị lây nhiễm BlackEnergy.
Mối liên hệ giữa BlackEnergy và KillDisk lần đầu tiên được CERT-UA công bố vào tháng 11/2015, khi một số hãng truyền thông bị tấn công tại thời điểm diễn ra cuộc bầu cử 2015 tại Ukraina. Cơ quan này cũng cho biết một số lượng lớn các tài liệu video và các tài liệu khác đã bị phá hủy do cuộc tấn công này.
Theo các chuyên gia Eset, tin tặc nhắm tới các tổ chức này bằng cách gửi đi email spear-phishing với tập tin đính kèm chứa mã độc. Bằng kỹ thuật xã hội, trong nội dung của tập tin này, tin tặc dụ dỗ, thuyết phục nạn nhân chạy macro. Một khi được chạy, thiết bị nạn nhân sẽ lây nhiễm BlackEnergy Lite – một biến thể của trojan BlackEnergy.
Thành phần KillDisk trong các cuộc tấn công vào cơ quan truyền thông tập trung vào phá hoại các tập tin và tài liệu trên thiết bị nạn nhân. Tuy nhiên, các chuyên gia phát hiện thành phần KillDisk sử dụng trong các cuộc tấn công nhắm vào cơ quan năng lượng có một chút khác biệt. Thành phần này cũng xóa Event Logs nhưng chỉ xóa 35
loại file extension, so với số lượng hơn 4.000 loại trong các cuộc tấn công vào các cơ quan truyền thông.
Thành phần KillDisk được phát hiện trong các cơ quan năng lượng cũng chứa tính năng đặc biệt để phá hoại hệ thống điều khiển bằng cách đè dữ liệu ngẫu nhiên lên các tập tin thực thi.
Nguồn: ComputerWeekly
Các cuộc tấn công phishing nhắm vào cơ quan này để cài backdoor vào hệ thống máy tính. Tương tự kỹ thuật trong cuộc tấn công bằng BlackEnergy, tin tặc ẩn giấu backdoor nguồn mở GCat trong tập tin Microsoft XLS. (Nguồn: The Register)
Các chuyên gia vừa phát hiện Trojan phát tán các thành phần độc hại trong cuộc tấn công vào cơ quan truyền thông và cơ quan năng lượng tại Ukraina. Trojan này đã gây ra vụ việc mất điện kéo dài vài giờ tại vùng Ivano-Frankivsk (Ukraina) vào ngày 23/12 vừa qua.
BlackEnergy được nhận định là một công cụ đơn giản để thực hiện tấn công từ chối dịch vụ (DDoS) vào năm 2007. Sau đó trojan này đã phát triển phức tạp hơn với kết cấu module.
Vào năm 2014, các chuyên gia đã thông báo về việc BlackEnergy được sử dụng để theo dõi tình báo tại Ukraina và Ba Lan. Chỉ hơn 1 năm sau, các chuyên gia tiếp tục phát hiện BlackEnergy được sử dụng như một backdoor phát tán các thành phần độc hại trong các cuộc tấn công vào cơ quan năng lượng và truyền thông tại Ukraina.
Vào ngày 23/12 vừa qua, khoảng một nửa số hộ gia định tại vùng Ivano-Frankivsk, Ukraina bị mất điện trong vài giờ. Theo các hãng truyền thông TSN của nước này, nguyên nhân của vụ việc là do cuộc tấn công của tin tặc.
Theo hệ thống ghi nhận của các chuyên gia, vụ mất điện không riêng lẻ, mà cùng thời điểm đó, tin tặc cũng nhắm tới các cơ quan năng lượng khác tại Ukraina.
Trong các cuộc tấn công, thành phần “KillDisk” có nhiệm vụ phá hoại hệ thống đích sẽ được tải về và thực thi trên các máy tính bị lây nhiễm BlackEnergy.
Mối liên hệ giữa BlackEnergy và KillDisk lần đầu tiên được CERT-UA công bố vào tháng 11/2015, khi một số hãng truyền thông bị tấn công tại thời điểm diễn ra cuộc bầu cử 2015 tại Ukraina. Cơ quan này cũng cho biết một số lượng lớn các tài liệu video và các tài liệu khác đã bị phá hủy do cuộc tấn công này.
Theo các chuyên gia Eset, tin tặc nhắm tới các tổ chức này bằng cách gửi đi email spear-phishing với tập tin đính kèm chứa mã độc. Bằng kỹ thuật xã hội, trong nội dung của tập tin này, tin tặc dụ dỗ, thuyết phục nạn nhân chạy macro. Một khi được chạy, thiết bị nạn nhân sẽ lây nhiễm BlackEnergy Lite – một biến thể của trojan BlackEnergy.
Thành phần KillDisk trong các cuộc tấn công vào cơ quan truyền thông tập trung vào phá hoại các tập tin và tài liệu trên thiết bị nạn nhân. Tuy nhiên, các chuyên gia phát hiện thành phần KillDisk sử dụng trong các cuộc tấn công nhắm vào cơ quan năng lượng có một chút khác biệt. Thành phần này cũng xóa Event Logs nhưng chỉ xóa 35
loại file extension, so với số lượng hơn 4.000 loại trong các cuộc tấn công vào các cơ quan truyền thông.
Thành phần KillDisk được phát hiện trong các cơ quan năng lượng cũng chứa tính năng đặc biệt để phá hoại hệ thống điều khiển bằng cách đè dữ liệu ngẫu nhiên lên các tập tin thực thi.
Nguồn: ComputerWeekly
Chỉnh sửa lần cuối bởi người điều hành: