Tin tặc và các cơ quan tình báo tấn công lẫn nhau

08:00 | 19/10/2017 | HACKER / MALWARE

Tại hội thảo Virus Bulletin Con ở Madrid (Tây Ban Nha), một bài trình bày có tên “Walking in your enemy's shadow” (tạm dịch là Bước vào bóng tối của đối phương) cho biết, các cơ quan tình báo và những tin tặc hàng đầu đang tích cực tấn công những tin tặc khác để đánh cắp dữ liệu, “mượn” công cụ và kỹ thuật, sử dụng lại cơ sở hạ tầng.

Tin tặc và các cơ quan tình báo tấn công lẫn nhau

Theo các nhà nghiên cứu của Kaspersky Lab, sự gia tăng các hoạt động tình báo chống tình báo đang khiến cho việc phân tích, ngăn ngừa các nguy cơ tấn công mạng càng trở nên khó khăn hơn.

Các nhà nghiên cứu thường dựa vào các dấu hiệu và công cụ để chỉ ra thủ phạm đứng đằng sau những cuộc tấn công, từ đó khuyến cáo khách hàng về rủi ro. Tuy nhiên, việc các nhóm tin tặc và các tổ chức tình báo tấn công lẫn nhau để lợi dụng công cụ, hạ tầng và khai thác lại những nạn nhân của nhau khiến cho điều đó trở nên vô cùng phức tạp.

Bài trình bày cho thấy, mọi việc phức tạp khi bên thứ tư tham gia vào cuộc tấn công mạng. Hai chuyên gia của Kaspersky Lab là Juan Andres Guerrero-Saade và Costin Raiu đã giải thích những vấn đề phức tạp khi một nhóm tin tặc lợi dụng công cụ nguồn đóng và hạ tầng của nhóm tin tặc khác.

Ngày nay, các nhóm tình báo công nghiệp đang tìm mọi cách đánh cắp công cụ của nhau, tận dụng những vụ tấn công đã có, tấn công lại những địa chỉ cũ. Việc dùng lại một phần công cụ của nhau phổ biến hơn việc đánh cắp toàn bộ và tái sử dụng các vụ tấn công có chủ đích (APT) của bên thứ ba.

Các nhóm tình báo thường dùng hai kiểu tấn công chính: Kiểu tấn công bị động là theo dõi dữ liệu trong các cuộc tấn công khi chúng được chuyển từ nạn nhân tới máy chủ kiểm soát và điều khiển; Kiểu tấn công chủ động là tấn công vào hạ tầng của nhóm khác, tuy dễ bị phát hiện hơn nhưng cũng đem lại nhiều phần thưởng hơn. Tấn công chủ động cho phép lấy dữ liệu định kỳ, giám sát đối tượng và nạn nhân của nó hay thậm chí chèn mã hoặc thực hiện các cuộc tấn công khác mà vẫn “đổ tội” được cho phủ phạm ban đầu. Khả năng thành công của các cuộc tấn công chủ động phụ thuộc phần lớn vào việc phạm sai lầm của nhóm tin tặc/tình báo đã tấn công trước đó.

Các nhà nghiên cứu của Kaspersky đã tìm ra hai ví dụ về trường hợp cổng hậu được cài vào hạ tầng kiểm soát và điều khiển của nhóm tin tặc khác. Ví dụ thứ nhất là, năm 2013, khi phân tích một máy chủ của nhóm tin tặc dùng tiếng Trung Quốc có tên là NetTraveler, dùng để tấn công các tổ chức ở châu Á. Trường hợp thứ hai được phát hiện năm 2014, khi thăm dò một website bị tấn công bởi một nhóm tin tặc sử dụng tiếng Nga có tên là Crouching Yeti. Năm 2016, một website được dựng bởi nhóm sử dụng tiếng Triều Tiên có tên là DarkHotel cũng chứa script của một nhóm tin tặc khác chuyên tấn công các tổ chức Nga, Trung Quốc và Hàn Quốc có tên là ScarCruft.

Tháng 11/2014, Kaspersky Lab báo cáo rằng, một máy chủ thuộc về một tổ chức nghiên cứu ở Trung Đông có tên là Magnet of Threats, chứa mã độc của Regin và Equation Group (tiếng Anh), Turla và ItaDuke (tiếng Nga), cũng như Animal Farm (tiếng Pháp) và Careto (tiếng Tây Ban Nha). Máy chủ này là điểm xuất phát để tìm ra nhóm Equation Group, liên quan đến tiết lộ của Edward Snowden về nhóm tấn công cao cấp của NSA.

Nguyễn Anh Tuấn

(theo The Register)

‹ › ×

Tin liên quan

Cherry Blossom: hệ thống tấn công các mạng không dây của CIA

13:31 | 24/07/2017

Mới đây, WikiLeaks đã công bố gói công cụ hacking Vault 7, trong đó có một hệ thống giúp CIA giám sát các hoạt động trên Internet của các đối tượng cần theo dõi bằng cách lợi dụng những lỗ hổng trong các thiết bị wifi.

Nhóm tình báo công nghiệp SowBug đánh cắp bí mật ngoại giao từ năm 2015

08:00 | 28/11/2017

Mới đây, các nhà nghiên cứu của công ty bảo mật Symantec phát hiện một nhóm tin tặc và tình báo công nghiệp đã thực hiện một chuỗi các cuộc tấn công vào các cơ quan chính phủ ở Nam Mỹ và Đông Nam Á nhằm đánh cắp thông tin nhạy cảm từ năm 2015.

Tin tặc đang nhắm tới mạng lưới cơ sở hạ tầng trọng yếu tại châu Âu

08:09 | 14/07/2017

Theo nguồn tin của chính phủ một số nước châu Âu, với phân tích của các chuyên gia về an toàn thông tin mạng, tin tặc nước ngoài đang tìm cách tấn công vào các mạng lưới dữ liệu kết nối với các hạ tầng cơ sở trọng yếu trên toàn lục địa này.

Tin cùng chuyên mục

Vén màn chiến dịch gián điệp mạng LightSpy

11:00 | 26/04/2024

Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.

Lỗ hổng trong camera của Wyze cho phép người dùng có thể xem video từ các ngôi nhà khác

10:00 | 04/03/2024

Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.