Châu Á đang là mục tiêu của tội phạm mạng

23/12/2015 09:43

Hãng bảo mật Trend Micro vừa đưa cảnh báo cho hay, thị trường châu Á hiện đang là mục tiêu tấn công hàng đầu của những băng đảng tội phạm công nghệ cao được tổ chức chặt chẽ.


Những cuộc tấn công này dựa trên mã Bifrose (xuất hiện từ năm 2008) nhằm tìm cách phát triển “cửa hậu” (backdoor). Báo cáo năm 2014 phát hiện một phiên bản mới của Bifrose tung hoành ngoài tầm kiểm soát của những chuyên viên an ninh. Theo quan sát trên những cải tiến của biến thể mới này, mạng ẩn Tor (Tor network) được dùng nhằm che khuất hệ thống hạ tầng C&C (Command and control - Điều khiển và ra lệnh).

Theo Trend Micro, Bifrose khét tiếng với trình theo dõi thao tác bàn phím (keylog) và thậm chí nó có thể đánh cắp thêm nhiều thông tin ngoài việc tác động đến bàn phím (keystroke). Trên thực tế, chúng ta đều biết mã nguồn Bifrose đã từng được bán với giá khoảng 10.000 USD, các chuyên gia tin rằng những nhóm tội phạm mạng đứng đằng sau những vụ tấn công doanh nghiệp Châu Á gần đây đã manh nha hoạt động từ năm 2010 và chúng mua các mã nguồn của Bifrose. Những tổ chức này sở hữu một nguồn tài chính và nhân lực hùng mạnh với kho vũ khí khủng.

Razor Huang - chuyên gia phân tích các mối đe dọa của Trend Micro nhận định: “Nghiên cứu của chúng tôi phát hiện những băng nhóm với nguồn lực tài chính giàu có có thể mua các mã nguồn của một công cụ phát tán mã độc diện rộng và nguồn nhân lực của chúng có thể sử dụng mã này để tạo nên những phiên bản cải tiến cho backdoor riêng”.

Những tổ chức tội phạm mạng hầu hết sẽ mua về mã nguồn Bifrose và cải thiện khả năng của chúng bằng cách bổ sung thêm những tính năng mới. “Chúng sẽ cải tiến chức năng, thiết kế một dòng lắp đặt, phát triển một hệ thống builder mới để tạo ra các cặp loader-backdoor và sau đó sẽ củng cố chức năng backdoor đơn giản và ngắn gọn hơn với mục đích cuối cùng là tạo ra một backdoor mới – KIVARS. Quy trình cải tiến backdoor này đòi hỏi sự hậu thuẫn rất lớn về tài chính từ nhà tài trợ hay nguồn quỹ riêng của chính tổ chức”, Razor Huang cho biết thêm.

Đáng chú ý là KIVARS backdoor có thể được sử dụng để nhắm mục tiêu vào những hệ thống xử lý 64-bit. Theo Trend Micro, KIVARS có lẽ liên quan mật thiết nhất đến với Bifrose vì họ phát hiện đường dẫn vào cơ sở dữ liệu chương trình (PDB - program database) của chúng để lộ mã của KIVARS là “BR” + “{year} (BR - viết tắt của Bifrose RAT)”. Một mã độc dựa trên Bifrose phát triển bởi cùng nhóm tin tặc trong năm 2010 là XBOW. XBOW cho thấy đường dẫn của thư mục Recent, Desktop và Program, thông tin này cũng để lộ trong các tin nhắn của BIFROSE và KIVARS.

Trend Micro giám sát một số hoạt động gần đây được tiến hành bởi một nhóm tội phạm mạng với tên gọi Operation Shrouded Crossbow nhắm vào thị trường châu Á và trong những lĩnh vực như nhà thầu chính phủ, cơ quan chính phủ tư nhân hóa, và các công ty trong lĩnh vực tài chính, y tế, tin học và hàng điện tử tiêu dùng.

Các chuyên gia Trend Micro tin rằng, các nhóm tội phạm mạng đang sở hữu biệt đội riêng biệt cho mỗi hoạt động: phát triển, xâm nhập / nhắm mục tiêu và duy trì hệ thống hạ tầng C & C.

MAI KHÔI

Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang