(Không gian mạng) - Ngày 13/06, hãng bảo mật Kaspersky (Nga) cảnh báo phát hiện một nhóm gián mạng Trung Quốc nhắm mục tiêu vào trung tâm dữ liệu quốc gia ở Trung Á, các chuyên gia tin rằng mục đích của nhóm này là triển khai cuộc tấn công watering hole trên trang web chính phủ của nước này.

http-channel-vcmedia-vn-prupload-270-2017-04-img-201704120929492537-1491978144232

Thủ phạm được cho là nhóm LuckyMouse (hay còn được gọi là Emissary Panda, APT27 và Threat Group 3390), hoạt động ít nhất từ năm 2010, nhắm vào hàng trăm tổ chức toàn cầu, trong đó có các nhà thầu quốc phòng Mỹ, hãng dịch vụ tài chính, một công ty sản suất máy bay không người lái (drone) Châu Âu, và trụ sở của công ty quản lý năng lượng Pháp tại Mỹ.

Các chuyên gia tại Kaspersky vừa phát hiện một chiến dịch mới của nhóm này, ghi nhận được vào tháng 03/2018, nhưng Kaspersky tin rằng nó đã được triển khai từ mùa thu năm 2017.

Chiến dịch nhắm vào một trung tâm dữ liệu quốc gia tại một nước dấu tên ở Trung Á. Các chuyên gia cho biết mục đích của tin tặc có thể là để lây nhiễm mã JavaScript độc vào những website chính phủ được kết nối đến trung tâm dữ liệu nhằm thực hiện cuộc tấn công watering hole.

Một khi truy cập thành công, những website chính phủ bị xâm nhập phục vụ cho BeEF, một framework chuyên khai thác lỗ hổng tập trung vào trình duyệt web, hay framework theo dõi Scanbox.

Kaspersky không thể xác định trung tâm dữ liệu quốc gia này bị xâm nhập bằng cách nào, nhưng hãng tin rằng tin tặc có thể sử dụng cuộc tấn công watering hole để nhắm vào nhân viên của tổ chức hoặc qua tài liệu Office độc – nhóm gián điệp này từng bị phát hiện khai thác lỗ hổng CVE-2017-11882.

Kaspersky cũng phát hiện mã độc được dùng trong chiến dịch lần này là HyperBro, một loại mã độc RAT được rất nhiều tin tặc nói tiếng Trung Quốc sử dụng. Và mẫu mà Kaspersky phân tích có nhãn thời gian giao động từ tháng 12/2017 đến 01/2018, cùng chứng cứ mà các chuyên gia tìm ra, cho thấy mã độc đã xâm nhập vào trung tâm dữ liệu khoảng từ giữa tháng 11/2017.

Máy chủ C&C chính sử dụng trong chiến dịch được lưu trữ trên địa chỉ IP liên quan đến một nhà cung cấp dịch vụ Internet (ISP) Ukraine. Đặc biệt, địa chỉ IP này thuộc về bộ định tuyến MikroTik đang chạy phần mềm hệ thống phiên bản phát hành tháng 03/2016.

Kaspersky nhận định: “Trung tâm dữ liệu quốc gia là một nguồn dữ liệu giá trị và có thể bị lợi dụng để xâm nhập vào các trang web chính phủ. Một điểm thú vị nữa là bộ định tuyến MikroTik, thiết bị mà các chuyên gia tin rằng bị tấn công để đặc biệt dành cho chiến dịch này. Lý do của chiến dịch hiện vẫn chưa rõ ràng: có thể, nhóm gián điệp nói tiếng Trung không mấy quan tâm đến việc ngụy trang cho các chiến dịch của chúng. Cũng có thể đây chỉ là bước đầu cho một cuộc tấn công mạnh mẽ hơn sắp tới”.

Lâm Quang Dũng (Lược dịch từ: Securityweek)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@vovanthuong.org
Xem thêm:
Thích và chia sẻ bài này trên