Đột nhập thế giới bí mật của tội phạm mạng

Thứ ba - 13/08/2013 19:26
Một băng đảng hacker Trung Quốc đã sử dụng phần mềm độc hại để tấn công vào hệ thống của công ty bảo mật RSA Security trong năm 2011 và thâm nhập vào hơn 100 công ty và tổ chức.
Đột nhập thế giới bí mật của tội phạm mạng

Một băng đảng hacker Trung Quốc đã sử dụng phần mềm độc hại để tấn công vào hệ thống của công ty bảo mật RSA Security trong năm 2011 và thâm nhập vào hơn 100 công ty và tổ chức, và băng đảng này còn rất háo hức khi ăn cắp dữ liệu từ một hội nghị các nhà phát triển viễn thông lớn nhằm tìm cách thức mới để giám sát các tập đoàn.

Theo hai nhà nghiên cứu kỳ cựu của Dell SecureWorks, những người đã trình bày phát hiện của họ tại Hội nghị bảo mật Black Hat gần đây cho biết: Các phần mềm Trojan truy cập từ xa - hoặc RAT (phần mềm độc hại) được biết đến với cái tên "Comfoo" chính là công cụ được sử dụng phần lớn trong các cuộc tấn công này.

Đột nhập thế giới bí mật của tội phạm mạng

Không những thế, phát hiện của họ còn cho thấy cách mà một nhóm hacker chuyên nghiệp có thể di chuyển khắp nơi và thâm nhập vào các mạng ăn cắp thông tin rồi tẩu thoát không một dấu vết.

"Chúng tôi chưa từng nhìn thấy nó được sử dụng với một phạm vi rộng như vậy trước đây", ông Joe Stewart - Giám đốc nghiên cứu malware (phần mềm chứa mã độc) tại SecureWorks cho biết khi giải thích lý do tại sao ông và bạn học Đại Học là Don Jackson lại tiết lộ chiến dịch bí mật của họ.

Digital Stakeout - Vào hang cọp để bắt cọp

Trong hơn 18 tháng, Stewart và Jackson, giám đốc đơn vị phụ trách các mối đe dọa truy cập mạng của SecureWorks (CTU), đã bí mật theo dõi một số hoạt động của Comfoo, họ tin rằng đây là việc làm của một nhóm tin tặc mà họ đặt tên là Beijing Group. Băng đảng này là một trong hai tổ chức tin tặc hàng đầu của Trung Quốc.

Để bắt đầu, Stewart đã sử dụng một mẫu phần mềm độc hại đã được sử dụng trong các cuộc tấn công RSA Security hồi năm 2011, do tin tặc Trung Quốc lây nhiễm, sau đó sử dụng thuật toán đảo ngược các đoạn mã hóa các phần mềm độc hại được các tin tặc sử dụng để đánh dấu các chỉ dẫn nhận và gửi từ các máy chủ ra lệnh và kiểm soát (C&C) của băng đảng này.

Cuối cùng, Stewart đã có thể để theo dõi các tin tặc này khi chúng đăng nhập vào các máy chủ C&C. Như cách mà bọn tin tặc đã làm, Stewart "bắt cóc" địa chỉ máy chủ MAC của nạn nhân - định danh duy nhất cho phần cứng của mạng IP (giao thức Internet), và cuối cùng là một thẻ tag thường được tin tặc sử dụng để dán nhãn cho mỗi chiến dịch đánh cắp dữ liệu.

SecureWorks đã không thể tìm thấy những dữ liệu bị những kẻ tấn công ăn cắp, nhưng sự giám sát thụ động của họ đã gặt hái được khá nhiều thành quả quan trọng.

"Chúng tôi đã thực hiện giải mã các vụ tương tự như thế này trước đây", Stewart nói "nhưng với các công cụ tùy chỉnh, bạn hiếm khi có thể tìm hiểu sâu hoặc biết được mức độ chi tiết của các cuộc tấn công và nạn nhân".

Thông báo cho nạn nhân

SecureWorks cho biết nhờ giải pháp stakeout (vào hang cọp để bắt cọp) ở trên, với tính chất "vô hình" của nó giúp đảm bảo rằng các tin tặc trong băng đảng Trung Quốc không biết họ đã bị theo dõi, và phát hiện ra hơn 100 nạn nhân, hơn 64 chiến dịch khác nhau và hơn 200 biến thể của Comfoo.

Đột nhập thế giới bí mật của tội phạm mạng

Công ty an ninh có trụ sở tại Atlanta này đã thông báo trực tiếp cho một số nạn nhân, và một số khác thông qua các đội phản ứng khẩn cấp về các vấn đề an ninh máy tính của chính phủ (CERT).

"Đây chỉ là phần nhỏ của tổng số các nạn nhân", Stewart cảnh báo.

Các tin tặc nhóm "Beijing Group" này còn nhắm mục tiêu tới một loạt các cơ quan chính phủ và các Bộ, các công ty tư nhân và các tổ chức thương mại trong nhiều lĩnh vực như năng lượng, truyền thông, bán dẫn, viễn thông. Dường như chúng muốn lấy mọi thông tin từ bất cứ đâu và bất cứ ai, mặc dù các nạn nhân thường tập trung ở các khu vực như Nhật Bản, Ấn Độ, Hàn Quốc và Mỹ.

Nhưng một nạn nhân như thế nào mới thu hút sự được sự chú ý của chúng?

Trong khi Stewart và Jackson từ chối nêu tên của bất kỳ nạn nhân nào, họ cho biết một chiến dịch đang được nhắm vào một hội nghị qua truyền hình trực tuyến của các nhà phát triển phần mềm lớn sắp diễn ra.

Họ cho rằng một khi những kẻ tấn công đã "đánh hơi" được thông tin thông qua mạng lưới của công ty về lỗ hổng bảo mật trong phần mềm, chúng sẽ tấn công vào các mục tiêu khác để đưa "tai mắt" vào ngành công nghiệp bảo mật cũng như các cuộc họp của chính phủ. "Chúng đang cố gắng thúc đẩy các hoạt động do thám bên thứ ba", Stewart nói.

Mục tiêu tấn công bất thường

Trong một báo cáo của SecureWorks công bố mới đây về Comfoo, công ty này cho biết mục tiêu mới của băng đảng tin tặc này hướng tới các sản phẩm âm thanh và hội nghị truyền hình là một điều "không bình thường".

Đột nhập thế giới bí mật của tội phạm mạng

Thông thường, các cuộc tấn công khác có thể có cùng một mục tiêu, đó là có được thông tin nội bộ của tất cả mọi thứ từ các phần mềm bảo mật cho đến các chứng chỉ xác thực kỹ thuật số, để sử dụng trong các cuộc tấn công bất hợp pháp trong tương lai.

Việc giám sát của SecureWorks cũng sẽ cho phép các nhà nghiên cứu an ninh theo dõi tốt hơn băng đảng hacker của Trung Quốc, và bởi vì bọn tội phạm mạng này đã thay đổi công cụ phần mềm độc hại của chúng kể từ khi sử dụng Comfoo, nên chắc chắn chúng sẽ làm như vậy một lần nữa, Jackson cho biết.

"Có thể chắc chắn để giả định rằng chúng sẽ thay đổi công cụ tấn công", Jackson nói. "Nhưng miễn là nguyên lý cốt lõi của các cuộc tấn công vẫn được giữ nguyên, chúng tôi vẫn sẽ có thể đối phó lại chúng trong tương lai với các cuộc tấn công đó".

Mỗi băng nhóm hacker theo như Jackson nói thì đều có đặc trưng riêng, chúng ta có thể có được dấu vết của chúng bằng cách phân tích kỹ các phần mềm độc hại mà chúng sử dụng cho tới cách thức tổ chức các cuộc thâm nhập C & C. "Tất cả đều có mô hình tổ chức riêng", Jackson nói.

Mặc dù không đi vào chi tiết cụ thể, Jackson cho biết rằng SecureWorks đã sử dụng các mẫu được tìm thấy trong các cuộc tấn công bằng Comfoo để xác định phần mềm độc hại mới hơn, cũng như các cuộc tấn công mà công ty này tin rằng đều có bàn tay của Beijing Group nhúng vào.

Cuối cùng, Jackson kết luận rằng: "Miễn là nó chỉ tiến hóa chứ không phải tạo ra một cuộc cách mạng, chúng ta vẫn còn có thể phát hiện ra chúng".

Tác giả bài viết: Theo VnReview

Nguồn tin: http://www.quantrimang.com.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Ủng hộ, hỗ trợ và tham gia phát triển NukeViet

1. Ủng hộ bằng tiền mặt vào Quỹ tài trợ NukeViet Qua tài khoản Paypal: Chuyển khoản ngân hàng trực tiếp: Người đứng tên tài khoản: NGUYEN THE HUNG Số tài khoản: 0031000792053 Loại tài khoản: VND (Việt Nam Đồng) Ngân hàng Vietcombank chi nhánh Hải...

Thăm dò ý kiến

Lợi ích của phần mềm nguồn mở là gì?

Tin xem nhiều
Thống kê truy cập
  • Đang truy cập184
  • Máy chủ tìm kiếm4
  • Khách viếng thăm180
  • Hôm nay37,966
  • Tháng hiện tại695,336
  • Tổng lượt truy cập70,481,185
  • Cộng đồng NukeViet vinh dự có 1 đơn vị tập thể và 1 cá nhân nhận bằng khen của Hội tin học Việt Nam

    Ngày 10/01/2021, tại sự kiện mừng sinh nhật lần thứ 9 CLB Phần mềm tự do nguồn mở Việt Nam (VFOSSA), Cộng đồng NukeViet đã có 1 cá nhân và 1 đơn vị tập thể được Hội tin học Việt Nam (VAIP) trao tặng bằng khen. Đây là niềm vinh dự lớn khi những đóng góp xuất sắc của cá nhân và tập thể trong Cộng đồng NukeViet được ghi nhận và vinh danh.
  • Chương trình đào tạo chuyên sâu lập trình viên NukeViet

    Với mục đích mở rộng cộng đồng lập trình yêu thích mã nguồn mở NukeViet. Công ty VINADES chủ quản phần mềm mã nguồn mở đã mở ra chương trình đào tạo lập trình viên online cho những ai yêu thích NukeViet
  • Powtoon phần mềm tạo video sinh động, hấp dẫn

    Powtoon được biết đến là một trong số những công cụ tạo video sinh động, hấp dẫn được nhiều người dùng ưa chuộng. Với thư viện template đa dạng, sinh động giúp bạn tạo nên những video, slide chất lượng cho mình.
  • Olympic Tin học Sinh viên năm 2020 - hạng mục Phần mềm nguồn mở diễn ra thành công tốt đẹp

    Ngày 10/12/2020, Cuộc thi Olympic Tin học Sinh viên toàn quốc năm 2020 (OLP), hạng mục Phần mềm nguồn mở chính thức được diễn ra tại Đại học Cần Thơ. Mã nguồn mở NukeViet vinh dự được lựa chọn làm nội dung thi của hạng mục này. NukeViet Core Team cũng được lựa chọn làm Ban Giám khảo chấm thi.
  • Google font - Làm cho web đẹp hơn, nhanh hơn và mở hơn

    Google font, dự án cung cấp một bộ sưu tập các phông chữ cho các nhà thiết kế web với giấy phép nguồn mở, cách sử dụng trực quan và mạnh mẽ. Cho phép sử dụng online mà không cần tải về và lưu trữ trên hosting của website
  • Bạn có cần nhân viên SEO không?

    Google không sử dụng từ SEOer để chỉ một người làm SEO mà gọi tên công việc và người làm công việc đó đều là SEO. Google mới đây đã có 1 bài phân tích việc một người làm kinh doanh liệu có cần nhân viên SEO không và hướng dẫn cách tuyển chọn nhân viên SEO. Mời các bạn cùng xem!
  • Cẩm nang SEO - Tài liệu chính thức của Google

    Nhiều bạn bỏ tiền học SEO, theo học các khóa SEO tại các trung tâm đào tạo với nhiều tips, tricks, mẹo, bí kíp... rất thiếu căn cứ nhưng lại chưa từng đọc "giáo trình chính thống" mà Google phát hành. Bqgt NukeViet thấy cần phải cho các thành viên cộng đồng NukeViet cái nhìn chính thống về SEO, chúng tôi quyết định cảnh báo các bạn đang bắt đầu bước chân vào lĩnh vực làm SEO nên đọc các tài liệu chính thống của Google trước tiên, vì mọi tips, tricks, mẹo, bí kíp... mà các bạn học bên ngoài chỉ là những thứ không chính thống, có thể bị Google thay thế, thậm chí là "phạt" bất cứ lúc nào.
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây