Đột nhập thế giới bí mật của tội phạm mạng

Thứ ba - 13/08/2013 08:26
Một băng đảng hacker Trung Quốc đã sử dụng phần mềm độc hại để tấn công vào hệ thống của công ty bảo mật RSA Security trong năm 2011 và thâm nhập vào hơn 100 công ty và tổ chức.
Đột nhập thế giới bí mật của tội phạm mạng

Một băng đảng hacker Trung Quốc đã sử dụng phần mềm độc hại để tấn công vào hệ thống của công ty bảo mật RSA Security trong năm 2011 và thâm nhập vào hơn 100 công ty và tổ chức, và băng đảng này còn rất háo hức khi ăn cắp dữ liệu từ một hội nghị các nhà phát triển viễn thông lớn nhằm tìm cách thức mới để giám sát các tập đoàn.

Theo hai nhà nghiên cứu kỳ cựu của Dell SecureWorks, những người đã trình bày phát hiện của họ tại Hội nghị bảo mật Black Hat gần đây cho biết: Các phần mềm Trojan truy cập từ xa - hoặc RAT (phần mềm độc hại) được biết đến với cái tên "Comfoo" chính là công cụ được sử dụng phần lớn trong các cuộc tấn công này.

Đột nhập thế giới bí mật của tội phạm mạng

Không những thế, phát hiện của họ còn cho thấy cách mà một nhóm hacker chuyên nghiệp có thể di chuyển khắp nơi và thâm nhập vào các mạng ăn cắp thông tin rồi tẩu thoát không một dấu vết.

"Chúng tôi chưa từng nhìn thấy nó được sử dụng với một phạm vi rộng như vậy trước đây", ông Joe Stewart - Giám đốc nghiên cứu malware (phần mềm chứa mã độc) tại SecureWorks cho biết khi giải thích lý do tại sao ông và bạn học Đại Học là Don Jackson lại tiết lộ chiến dịch bí mật của họ.

Digital Stakeout - Vào hang cọp để bắt cọp

Trong hơn 18 tháng, Stewart và Jackson, giám đốc đơn vị phụ trách các mối đe dọa truy cập mạng của SecureWorks (CTU), đã bí mật theo dõi một số hoạt động của Comfoo, họ tin rằng đây là việc làm của một nhóm tin tặc mà họ đặt tên là Beijing Group. Băng đảng này là một trong hai tổ chức tin tặc hàng đầu của Trung Quốc.

Để bắt đầu, Stewart đã sử dụng một mẫu phần mềm độc hại đã được sử dụng trong các cuộc tấn công RSA Security hồi năm 2011, do tin tặc Trung Quốc lây nhiễm, sau đó sử dụng thuật toán đảo ngược các đoạn mã hóa các phần mềm độc hại được các tin tặc sử dụng để đánh dấu các chỉ dẫn nhận và gửi từ các máy chủ ra lệnh và kiểm soát (C&C) của băng đảng này.

Cuối cùng, Stewart đã có thể để theo dõi các tin tặc này khi chúng đăng nhập vào các máy chủ C&C. Như cách mà bọn tin tặc đã làm, Stewart "bắt cóc" địa chỉ máy chủ MAC của nạn nhân - định danh duy nhất cho phần cứng của mạng IP (giao thức Internet), và cuối cùng là một thẻ tag thường được tin tặc sử dụng để dán nhãn cho mỗi chiến dịch đánh cắp dữ liệu.

SecureWorks đã không thể tìm thấy những dữ liệu bị những kẻ tấn công ăn cắp, nhưng sự giám sát thụ động của họ đã gặt hái được khá nhiều thành quả quan trọng.

"Chúng tôi đã thực hiện giải mã các vụ tương tự như thế này trước đây", Stewart nói "nhưng với các công cụ tùy chỉnh, bạn hiếm khi có thể tìm hiểu sâu hoặc biết được mức độ chi tiết của các cuộc tấn công và nạn nhân".

Thông báo cho nạn nhân

SecureWorks cho biết nhờ giải pháp stakeout (vào hang cọp để bắt cọp) ở trên, với tính chất "vô hình" của nó giúp đảm bảo rằng các tin tặc trong băng đảng Trung Quốc không biết họ đã bị theo dõi, và phát hiện ra hơn 100 nạn nhân, hơn 64 chiến dịch khác nhau và hơn 200 biến thể của Comfoo.

Đột nhập thế giới bí mật của tội phạm mạng

Công ty an ninh có trụ sở tại Atlanta này đã thông báo trực tiếp cho một số nạn nhân, và một số khác thông qua các đội phản ứng khẩn cấp về các vấn đề an ninh máy tính của chính phủ (CERT).

"Đây chỉ là phần nhỏ của tổng số các nạn nhân", Stewart cảnh báo.

Các tin tặc nhóm "Beijing Group" này còn nhắm mục tiêu tới một loạt các cơ quan chính phủ và các Bộ, các công ty tư nhân và các tổ chức thương mại trong nhiều lĩnh vực như năng lượng, truyền thông, bán dẫn, viễn thông. Dường như chúng muốn lấy mọi thông tin từ bất cứ đâu và bất cứ ai, mặc dù các nạn nhân thường tập trung ở các khu vực như Nhật Bản, Ấn Độ, Hàn Quốc và Mỹ.

Nhưng một nạn nhân như thế nào mới thu hút sự được sự chú ý của chúng?

Trong khi Stewart và Jackson từ chối nêu tên của bất kỳ nạn nhân nào, họ cho biết một chiến dịch đang được nhắm vào một hội nghị qua truyền hình trực tuyến của các nhà phát triển phần mềm lớn sắp diễn ra.

Họ cho rằng một khi những kẻ tấn công đã "đánh hơi" được thông tin thông qua mạng lưới của công ty về lỗ hổng bảo mật trong phần mềm, chúng sẽ tấn công vào các mục tiêu khác để đưa "tai mắt" vào ngành công nghiệp bảo mật cũng như các cuộc họp của chính phủ. "Chúng đang cố gắng thúc đẩy các hoạt động do thám bên thứ ba", Stewart nói.

Mục tiêu tấn công bất thường

Trong một báo cáo của SecureWorks công bố mới đây về Comfoo, công ty này cho biết mục tiêu mới của băng đảng tin tặc này hướng tới các sản phẩm âm thanh và hội nghị truyền hình là một điều "không bình thường".

Đột nhập thế giới bí mật của tội phạm mạng

Thông thường, các cuộc tấn công khác có thể có cùng một mục tiêu, đó là có được thông tin nội bộ của tất cả mọi thứ từ các phần mềm bảo mật cho đến các chứng chỉ xác thực kỹ thuật số, để sử dụng trong các cuộc tấn công bất hợp pháp trong tương lai.

Việc giám sát của SecureWorks cũng sẽ cho phép các nhà nghiên cứu an ninh theo dõi tốt hơn băng đảng hacker của Trung Quốc, và bởi vì bọn tội phạm mạng này đã thay đổi công cụ phần mềm độc hại của chúng kể từ khi sử dụng Comfoo, nên chắc chắn chúng sẽ làm như vậy một lần nữa, Jackson cho biết.

"Có thể chắc chắn để giả định rằng chúng sẽ thay đổi công cụ tấn công", Jackson nói. "Nhưng miễn là nguyên lý cốt lõi của các cuộc tấn công vẫn được giữ nguyên, chúng tôi vẫn sẽ có thể đối phó lại chúng trong tương lai với các cuộc tấn công đó".

Mỗi băng nhóm hacker theo như Jackson nói thì đều có đặc trưng riêng, chúng ta có thể có được dấu vết của chúng bằng cách phân tích kỹ các phần mềm độc hại mà chúng sử dụng cho tới cách thức tổ chức các cuộc thâm nhập C & C. "Tất cả đều có mô hình tổ chức riêng", Jackson nói.

Mặc dù không đi vào chi tiết cụ thể, Jackson cho biết rằng SecureWorks đã sử dụng các mẫu được tìm thấy trong các cuộc tấn công bằng Comfoo để xác định phần mềm độc hại mới hơn, cũng như các cuộc tấn công mà công ty này tin rằng đều có bàn tay của Beijing Group nhúng vào.

Cuối cùng, Jackson kết luận rằng: "Miễn là nó chỉ tiến hóa chứ không phải tạo ra một cuộc cách mạng, chúng ta vẫn còn có thể phát hiện ra chúng".

Tác giả: Theo VnReview

Nguồn tin: http://www.quantrimang.com.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Giới thiệu về NukeViet CMS

CMS là gì? CMS là từ viết tắt từ Content Management System. Theo wikipedia Định nghĩa. Hệ quản trị nội dung, cũng được gọi là hệ thống quản lý nội dung hay CMS (từ Content Management System của tiếng Anh) là phần mềm để tổ chức và tạo môi trường cộng tác thuận lợi nhằm mục đích xây dựng một hệ...

Thăm dò ý kiến

Bạn biết gì về NukeViet 4?

Thống kê truy cập
  • Đang truy cập87
  • Máy chủ tìm kiếm18
  • Khách viếng thăm69
  • Hôm nay26,840
  • Tháng hiện tại334,823
  • Tổng lượt truy cập114,834,648
Left-column advertisement
  • Thông báo phát hành NukeViet 4.6.00

    NukeViet 4.6.00 là phiên bản tiếp theo của NukeViet CMS dựa trên kế thừa các chức năng của dòng 4.5 và yêu cầu máy chủ hỗ trợ php 7.4 trở lên. Đây cũng là bản cập nhật bảo mật rất quan trọng được khuyến nghị cho toàn bộ người dùng.
  • Thông báo bảo mật dòng NukeViet 4.5.x

    Dòng NukeViet 4.5.x đã bước vào giai đoạn duy trì cuối vòng đời. Trang này ghi nhận liên tục các vấn đề bảo mật và cách chúng tôi xử lý để giữ an toàn cho những website còn ở lại trên dòng 4.5.x đến tháng 7 năm 2027. Chúng tôi vẫn nỗ lực bảo vệ bạn ở mức tốt nhất có thể trên nền tảng này — nhưng nếu có điều kiện, hãy lên kế hoạch chuyển sang phiên bản mới hơn để được bảo vệ tận gốc.
  • Sinh viên ĐH Bách khoa Hà Nội giúp tìm ra lỗ hổng bảo mật của NukeViet

    Nguyễn Quang Bằng, sinh viên năm 4 ngành Khoa học Máy tính tại Đại học Bách Khoa Hà Nội, vừa được nền tảng CMS mã nguồn mở NukeViet vinh danh sau khi phát hiện và báo cáo một lỗ hổng bảo mật nghiêm trọng.
  • Thông báo phát hành NukeViet 4.5.08

    NukeViet 4.5.08 là Phiên bản tiếp theo của dòng NukeViet 4.5, đây là bản cập nhật bảo mật quan trong được đề xuất cho toàn bộ người dùng.
  • Thông tin chính thức về CVE-2025-8772, CVE-2024-36531 và CVE-2024-36528

    Phản hồi chính thức của đội code về các lỗ hổng bảo mật mới của NukeViet CMS được công bố trong năm 2024-2025 và hướng dẫn bảo vệ an toàn cho website của bạn trước các nguy cơ khai thác hoặc tấn công khác.
  • Thông báo phát hành NukeViet 4.5.07

    NukeViet 4.5.07 là Phiên bản tiếp theo của dòng NukeViet 4.5, trọng tâm là xử lý các vấn đề xoay quanh trình soạn thảo CKEditor 5 và tính năng block tùy chỉnh trong giao diện
  • Hướng dẫn tiếp tục sử dụng trình soạn thảo CKEditor 4 trên NukeViet 4.5 các phiên bản từ 4.5.07 về...

    Từ NukeViet 4.5.07 các website cài mới hoặc nâng cấp lên đều được tự động gỡ bỏ CKEditor 4 để đảm bảo tối đa tính bảo mật lâu dài. Nếu bạn có nhiều module hoặc ứng dụng vẫn cần phải dùng nó mà không muốn nâng cấp có thể làm theo hướng dẫn này để tiếp tục sử dụng.
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây