Nhóm tin tặc chuyên tấn công cơ quan chính phủ tái xuất

Một chiến dịch tấn công mạng rất tinh vi nhằm đánh cắp thông tin từ các tổ chức ngoại giao, Chính phủ và quân đội khu vực Nam Á vừa bị phát hiện có liên quan tới nhóm tin tặc tưởng chừng đã dừng hoạt động.
nhom-tin-tac-chuyen-tan-cong-co-quan-chinh-phu-tai-xuat

Chiến dịch kéo dài gần 6 năm và có mối liên hệ với các cuộc tấn công gần đây khác được phát hiện trong khu vực. Khi tìm hiểu sâu hơn về những công cụ và phương pháp được sử dụng, các nhà nghiên cứu ở Kaspersky đã đưa ra kết luận rằng kẻ tấn công đứng sau chiến dịch này là PLATINUM - một nhóm tin tặc được cho rằng đã dừng hoạt động từ lâu.

Để che giấu hoạt động này trong một thời gian dài, PLATINUM đã mã hóa thông tin của mình bằng cách sử dụng kỹ thuật ẩn mã (steganography) để che giấu dữ liệu muốn truyền tải.

Các nhà nghiên cứu bảo mật từng cảnh báo về sự nguy hiểm của kỹ thuật ẩn mã đối với an ninh mạng. Kỹ thuật ẩn mã là phương thức chuyển tải thông điệp một cách bí mật, ngoại trừ người gửi và người nhận thì không ai biết đến sự tồn tại của thông điệp. Cách thức này khác với mật mã ở chỗ mật mã chỉ dùng để che giấu dữ liệu.

Bằng cách sử dụng kỹ thuật ẩn mã, các nhóm hacker có thể khiến hệ thống bị nhiễm mã độc trong một thời gian dài mà không hề bị nghi ngờ. Đây là phương thức được sử dụng bởi PLATINUM, một nhóm tin tặc chống lại Chính phủ và các tổ chức liên quan ở khu vực Nam Á, Đông Nam Á - với hoạt động cuối cùng được biết đến diễn ra vào năm 2017.

Đối với hoạt động của PLATINUM, các lệnh phần mềm độc hại được nhúng vào mã HTML của trang web. Lợi dụng đặc điểm phím “tab” và “dấu cách” không thay đổi cách mã HTML được thể hiện trên trang web, nhóm hacker đã mã hóa các lệnh theo một trình tự cụ thể với hai phím này. Do đó, các lệnh gần như không thể bị phát hiện trong dữ liệu đang lưu thông trên mạng.

Để phát hiện phần mềm độc hại, các nhà nghiên cứu đã phải kiểm tra nhiều chương trình có khả năng tải tệp lên thiết bị. Trong quá trình này, các chuyên gia nhận thấy một hoạt động khác thường - như truy cập Dropbox và chỉ hoạt động vào một số thời điểm nhất định. Họ sau đó nhận ra mục đích của việc này là để che giấu hoạt động tấn công của phần mềm độc hại trong giờ hành chính – thời điểm hành vi tấn công không bị nghi ngờ.

Ông Alexey Shulmin, chuyên gia bảo mật tại Kaspersky cho biết: “Trong suốt sự tồn tại của mình, các chiến dịch PLATINUM đã được lên kế hoạch rất kỹ lưỡng. Phần mềm độc hại được sử dụng trong cuộc tấn công này cũng không ngoại lệ. Ngoài kỹ thuật ẩn mã, các tính năng khác cho phép chúng hoạt động và qua mặt radar an ninh trong thời gian dài"

Chẳng hạn như khả năng chuyển lệnh không chỉ từ trung tâm chỉ huy mà còn từ máy bị nhiễm sang máy khác. Bằng cách này, nó có thể tiếp cận những thiết bị có cơ sở hạ tầng tương tự với thiết bị bị tấn công (trong tình trạng ngắt kết nối với Internet).

"Việc phát hiện các tác nhân đe dọa như PLATINUM với kỹ thuật ẩn mã là một dấu hiệu cho thấy các mối đe dọa đang có mức độ tinh vi ngày càng tăng, và các nhà cung cấp giải pháp bảo mật cần hết sức chú ý trong quá trình phát triển sản phẩm bảo mật của mình”, ông Shulmin nhấn mạnh.

Để giảm nguy cơ trở thành nạn nhân của những hoạt động tấn công mạng tinh vi, chuyên gia bảo mật khuyên người dùng nên thực hiện các biện pháp sau:

  • Thực hiện đào tạo nâng cao nhận thức bảo mật cho nhân viên, hướng dẫn nhân viên cách nhận biết và phòng tránh những ứng dụng hoặc tệp có khả năng gây hại. Ví dụ, nhân viên không nên tải xuống và khởi chạy bất kỳ ứng dụng hoặc chương trình nào từ các đơn vị không đáng tin cậy.
  • Để phát hiện, điều tra và khắc phục kịp thời những đe dọa mạng điểm cuối, hãy triển khai các giải pháp EDR.
  • Ngoài việc áp dụng phương pháp bảo vệ điểm cuối thiết yếu, hãy triển khai giải pháp bảo mật giúp công ty phát hiện các mối đe dọa tinh vi ở giai đoạn đầu.
  • Cung cấp cho Trung tâm điều hành an ninh (SOC – Security Operation Center) các thông tin đe dọa mạng mới nhất để họ luôn cập nhật những công cụ và kỹ thuật được tội phạm mạng đang sử dụng.
 

Thanh niên 19 tuổi thành triệu phú USD nhờ săn lỗi bảo mật

Hacker trẻ tuổi người Argentina kiếm được một triệu USD tiền thưởng khi phát hiện hàng loạt lỗ hổng trên nhiều phần mềm phổ biến.

 

Khát vọng vươn tới 'giấc mơ bảo mật' Việt Nam

Tiến sĩ Nguyễn Duy Lân là cái tên đã ghi những dấu ấn riêng và tạo được tiếng vang trong cộng đồng công nghệ thông tin (IT) tại Mỹ cũng như Việt Nam, đặc biệt về lĩnh vực bảo mật.

 

Việt Nam đang tích cực đầu tư bảo mật, chống tấn công mạng

Việt Nam thường xuyên nằm trong top 10 các quốc gia hứng chịu các cuộc tấn công mạng và lây nhiễm mã độc nguy hiểm.