(Không gian mạng) - Ngày 18/01, Trung tâm An ninh mạng Quốc gia Anh (NCSC) đưa ra cảnh báo về các tính năng mới cập nhật của mã độc Neuron do nhóm tin tặc Turla (Nga) đứng sau.

Turla cập nhật mã độc Neuron, nhắm mục tiêu nước Anh

Turla cập nhật mã độc Neuron, nhắm mục tiêu nước Anh

Nhóm tin tặc khét tiếng Turla đang nhắm mục tiêu Vương Quốc Anh với phiên bản mã độc mới được thiết kế để chèn vào hệ thống bị lây nhiễm và âm thầm thực hiện hành vi gián điệp.

Neuron và Nautilus là 2 mã độc trước đây từng bị quy kết do nhóm tin tặc APT Turla phát tán. Đây là nhóm chuyên thực hiện chiến dịch gián diệp nhắm mục tiêu vào nhiều dạng đối tượng khác nhau, gồm cơ quan chính phủ, quân đội, các tổ chức thương mại, năng lượng và công ty công nghệ.

Trong năm 2017 vừa qua, nhóm này đã tiến hành các cuộc tấn công tập trung vào các mục tiêu ngoại giao, bao gồm cả các đại sứ quán và lãnh sự quán.

Chủ yếu tấn công qua máy chủ mail và web trên Windows, Turla triển khai chiến dịch email lừa đảo được soạn thảo đặc biệt để phát tán mã độc Neuron và Nautilus, kết hợp cùng bộ rootkit Snake của mình.

Bằng sự kết hợp này, Turla có thể duy trì sự hiện diện của mình trên hệ thống bị lây nhiễm một cách bền bỉ, từ đó bí mật xâm nhập vào dữ liệu nhạy cảm hoặc sử dụng hệ thống bị lây nhiễm như một cổng vào để thực hiện các cuộc tấn công tiếp theo.

Neuron phiên bản mới được thay đổi ở cơ chế tải và công cụ thả (dropper) giúp mã độc có khả năng ẩn mình trước các công cụ dò tìm mã độc và các hoạt động độc hại không bị gián đoạn.

Một trong những cách để đạt được điều này là nhờ sử dụng một trình tải trong bộ nhớ trong (in-memory payload) được mã hóa ngay trong công cụ tải (loader), để đảm bảo nó được che dấu. Sửa đổi này cho phép Neuron ẩn mình trong suốt quá trình quét của phần mềm chống virus, mặc dù NCSC cho rằng các phần mềm chống virus có chức năng quét bộ nhớ vẫn có thể phát hiện ra trình tải này.

Tác giả của Neuron cũng nâng cấp thêm bộ mã hóa cho phiên bản mới này với cấu hình nhiều khóa được hardcode hơn phiên bản cũ chỉ có 1 khóa. Tương tự các cập nhật khác, việc áp dụng tính năng này sẽ gây khó khăn cho các nhà phòng vệ hệ thống dò tìm và giải mã được mã độc.

NCSC không chỉ rõ Turla có liên quan đến một đối tượng cụ thể nào, mà thay vào đó là lời khẳng định nhóm này là “một nhóm tin tặc quen thuộc đang nhắm vào Anh”, đồng thời cảnh báo các cơ quan, tổ chức từng bị nhóm này nhắm mục tiêu “hãy chú ý thường xuyên kiểm tra các tính năng mới của mã độc này”.

Lâm Quang Dũng (Lược dịch từ: ZDNet)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@vovanthuong.org
Xem thêm:
Thích và chia sẻ bài này trên