WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Vụ Anthem: Có bằng chứng Trung Quốc là chủ mưu
Các nhà nghiên cứu an ninh mạng đã lần theo dấu vết của vụ tấn công vào hệ thống dữ liệu của công ty bảo hiểm Mỹ Anthem và phát hiện những bằng chứng cho thấy Trung Quốc là chủ mưu của vụ việc.
Hãng an ninh mạng ThreatConnect hôm 27/02 khẳng định các phân tích tình báo mã nguồn mở (dựa trên các thông tin công khai) đã củng cố giả thuyết vụ ăn cắp dữ liệu người dùng bảo hiểm Mỹ vừa qua gắn với một chương trình gián điệp quy mô lớn của Trung Quốc.
Một loạt các bằng chứng - bao gồm email, đăng ký tên miền cho server C&C và chứng thư ký của mã độc - đều dẫn tới một nhóm gián điệp Trung Quốc, một giáo sư tại Đại học Đông Nam Trung Quốc và nhà thầu quốc phòng mà giáo sư này đang cộng tác là công ty Beijing Topsec Technology Co. Những kẻ tấn công đã rất cố gắng để che giấu các bằng chứng nhưng không thành công, ThreatConnect khẳng định.
Phân tích của ThreatConnect là nỗ lực mới nhất nhằm làm rõ vụ tấn công vào Anthem, công ty bảo hiểm y tế lớn nhất trong số 37 công ty lập nên chương trình bảo hiểm Blue Cross Blue Shield. Hồi đầu tháng 2, công ty tuyên bố tin tặc đã truy cập được các thông tin cá nhân của hơn 80 triệu bệnh nhân (bao gồm tên, ngày sinh, số thẻ an sinh xã hội, số thẻ bảo hiểm y tế, địa chỉ nhà, địa chỉ email và nghề nghiệp).
Tội phạm mạng thông thường sẽ kiếm lợi nhuận từ việc bán những dữ liệu, tuy nhiên cho đến nay vẫn chưa có thông tin nào cho thấy những thông tin này đã được bán.
Phân tích tìm ra mã độc gián điệp được sử dụng là Derusbi, được xác định là có liên quan tới các nhóm gián điệp Trung Quốc. Mã độc này được ký bằng chứng thư hợp lệ của một công ty phần mềm Hàn Quốc có tên DETOPTOOLZ. Chứng thư của DETOPTOOLZ được tìm thấy trong các dòng mã độc Derusbi, Sakula, và HttpBrowser/HttpDump, tất cả đều có mối liên hệ với các nhóm tấn công APT (Advanced persistent threat) của Trung Quốc. Các cuộc tấn công tương tự kết nối chủ tên miền với một địa chỉ email có liên quan đến cuộc thi an toàn thông tin do Đại học Đông Nam Trung Quốc, công ty Topsec Information Security và Trung tâm nghiên cứu công nghệ Internet di động Trung Quốc thực hiện. Theo tài liệu của bộ Ngoại giao Mỹ được WikiLeaks công bố năm 2009, công ty Topsec đã nhận được sự đầu tư khổng lồ từ quân đội Trung Quốc.
Nhìn chung, các bằng chứng tạo nên bức tranh rõ ràng của một chiến dịch tấn công của Trung Quốc nhằm thu thập thông tin về công dân Mỹ, ông Rich Barger, giám đốc tình báo của ThreatConnect, khẳng định. Chương trình Blue Cross Blue Shield phục vụ một phần ba dân số Mỹ, trong đó có 5,3 triệu nhân viên liên bang, người nghỉ hưu và những người phụ thuộc, và đây có thể là động lực cho cuộc tấn công, ông nhấn mạnh.
Nguồn: eWeek
Hãng an ninh mạng ThreatConnect hôm 27/02 khẳng định các phân tích tình báo mã nguồn mở (dựa trên các thông tin công khai) đã củng cố giả thuyết vụ ăn cắp dữ liệu người dùng bảo hiểm Mỹ vừa qua gắn với một chương trình gián điệp quy mô lớn của Trung Quốc.
Một loạt các bằng chứng - bao gồm email, đăng ký tên miền cho server C&C và chứng thư ký của mã độc - đều dẫn tới một nhóm gián điệp Trung Quốc, một giáo sư tại Đại học Đông Nam Trung Quốc và nhà thầu quốc phòng mà giáo sư này đang cộng tác là công ty Beijing Topsec Technology Co. Những kẻ tấn công đã rất cố gắng để che giấu các bằng chứng nhưng không thành công, ThreatConnect khẳng định.
Phân tích của ThreatConnect là nỗ lực mới nhất nhằm làm rõ vụ tấn công vào Anthem, công ty bảo hiểm y tế lớn nhất trong số 37 công ty lập nên chương trình bảo hiểm Blue Cross Blue Shield. Hồi đầu tháng 2, công ty tuyên bố tin tặc đã truy cập được các thông tin cá nhân của hơn 80 triệu bệnh nhân (bao gồm tên, ngày sinh, số thẻ an sinh xã hội, số thẻ bảo hiểm y tế, địa chỉ nhà, địa chỉ email và nghề nghiệp).
Tội phạm mạng thông thường sẽ kiếm lợi nhuận từ việc bán những dữ liệu, tuy nhiên cho đến nay vẫn chưa có thông tin nào cho thấy những thông tin này đã được bán.
Phân tích tìm ra mã độc gián điệp được sử dụng là Derusbi, được xác định là có liên quan tới các nhóm gián điệp Trung Quốc. Mã độc này được ký bằng chứng thư hợp lệ của một công ty phần mềm Hàn Quốc có tên DETOPTOOLZ. Chứng thư của DETOPTOOLZ được tìm thấy trong các dòng mã độc Derusbi, Sakula, và HttpBrowser/HttpDump, tất cả đều có mối liên hệ với các nhóm tấn công APT (Advanced persistent threat) của Trung Quốc. Các cuộc tấn công tương tự kết nối chủ tên miền với một địa chỉ email có liên quan đến cuộc thi an toàn thông tin do Đại học Đông Nam Trung Quốc, công ty Topsec Information Security và Trung tâm nghiên cứu công nghệ Internet di động Trung Quốc thực hiện. Theo tài liệu của bộ Ngoại giao Mỹ được WikiLeaks công bố năm 2009, công ty Topsec đã nhận được sự đầu tư khổng lồ từ quân đội Trung Quốc.
Nhìn chung, các bằng chứng tạo nên bức tranh rõ ràng của một chiến dịch tấn công của Trung Quốc nhằm thu thập thông tin về công dân Mỹ, ông Rich Barger, giám đốc tình báo của ThreatConnect, khẳng định. Chương trình Blue Cross Blue Shield phục vụ một phần ba dân số Mỹ, trong đó có 5,3 triệu nhân viên liên bang, người nghỉ hưu và những người phụ thuộc, và đây có thể là động lực cho cuộc tấn công, ông nhấn mạnh.
Nguồn: eWeek