Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023 | HACKER / MALWARE

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).

USB an toàn là thiết bị được sử dụng, thiết kế hoặc cấu hình để cung cấp các tính năng bảo đảm an toàn dữ liệu lưu trữ, nhằm bảo vệ dữ liệu trên ổ đĩa USB trước các rủi ro mất mát hoặc truy cập trái phép.

Hiện nay, nhu cầu sử dụng thiết bị USB an toàn trở nên phổ biến trong các tổ chức, doanh nghiệp, các cơ quan, đơn vị Nhà nước. Tuy nhiên, đây cũng là mục tiêu hấp dẫn của tin tặc, bởi giá trị mà dữ liệu thiết bị này lưu trữ. Nhiều nguy cơ tấn công nhắm vào các thiết bị lưu trữ USB nhằm phát tán mã độc, chiếm quyền điều khiển và đánh cắp dữ liệu. Trong đó, hình thức phát tán mã độc hại thông qua USB an toàn là một trong những phương thức chính mà tin tặc sử dụng để tấn công vào các hệ thống mạng nội bộ, các mạng dùng riêng.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

Thông qua theo dõi, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp đánh cắp dữ liệu trên không gian mạng, do một nhóm tin tặc chưa được biết đến trước đây thực hiện. Được đặt tên là TetrisPhantom, nhóm tin tặc này thực hiện theo dõi và thu thập dữ liệu nhạy cảm từ các tổ chức chính phủ các nước APAC. TetrisPhantom sử dụng nhiều kỹ thuật phức tạp để tấn công vào các thiết bị lưu trữ USB an toàn - những thiết bị vốn được bảo vệ bằng cơ chế mã hóa phần cứng để đảm bảo lưu trữ và truyền dữ liệu an toàn giữa các hệ thống máy tính.

Tuy nhiên, không chỉ các thiết bị USB an toàn được các tổ chức chính phủ sử dụng, mà các sản phẩm USB thương mại cũng là mục tiêu tấn công của nhóm tin tặc.

Trong chiến dịch này, nhóm TetrisPhantom đã xây dựng và phát triển loại mã độc tinh vi, bao gồm nhiều mô-đun độc hại khác nhau. Thông qua mã độc này, tin tặc có thể tấn công, thể chiếm quyền kiểm soát toàn bộ thiết bị USB an toàn của người dùng.

TetrisPhantom sử dụng 2 mô-đun mã độc chính để tấn công nhắm vào các thiết bị lưu trữ USB an toàn, cụ thể:

Thứ nhất, Mô-đun XMKR được thiết kế để phát tán mã độc hại thông qua thiết bị lưu trữ USB an toàn. Tin tặc tiêm mã độc hại này vào thiết bị USB. Khi lây nhiễm thành công, mã độc này sẽ tự động phát tán lên máy tính mà USB kết nối.

Mô-đun mã độc thứ hai là exportUSB, được sử dụng để đánh cắp dữ liệu trên trên phân vùng được bảo vệ của USB an toàn. ExportUSB được thiết kế sử dụng các lệnh giao tiếp, điều khiển ở mức thấp (SPTI - SCSI Pass Through Interface; IOCTL_SCSI_PASS_THROUGH_DIRECT IOCTL IOCTL; SCSI READ or SCSI WRITE…). Hai mô-đun mã độc này cho phép tin tặc thực thi các lệnh từ xa, thu thập tệp và thông tin từ các máy tính và USB, từ đó đánh cắp các thông tin dữ liệu và chuyển về máy chủ điều khiển và ra lệnh (C2) của tin tặc.

Để phòng tránh, giảm thiểu các nguy cơ tấn công vào các thiết bị lưu trữ dữ liệu, các cơ quan, đơn vị cần thực hiện nghiêm các quy định về sử dụng USB trong việc lưu trữ; thường xuyên cập nhật, sử dụng các giải pháp an toàn thông tin trong hệ thống. Đối với người dùng cuối cần khẩn trương cài đặt và cập nhật các giải pháp phòng chống virus tiên tiến hiện nay.

Võ Hoàng

‹ › ×

Tin liên quan

Những chiếc USB kém chất lượng được bán ra thị trường

09:00 | 02/04/2024

Một chuyên gia khôi phục dữ liệu người Đức đã xác nhận: Thẻ nhớ USB đang ngày càng kém tin cậy hơn. Nguyên nhân được cho là do chip bộ nhớ kém hơn, trong khi việc chuyển sang lưu trữ nhiều bit trên mỗi ô flash ảnh hưởng đến chất lượng của thẻ nhớ.

Nâng cao sức phòng thủ cho các mạng công nghệ thông tin trọng yếu quốc gia (phần I)

10:00 | 15/01/2024

Sự phát triển mạnh mẽ của công nghệ thông tin tuy mang lại nhiều lợi ích trên nhiều lĩnh vực nhưng cũng làm gia tăng thêm những hiểm họa, nguy cơ mất an toàn thông tin. Đáng chú ý, nhiều mạng công nghệ thông tin trọng yếu của các cơ quan Đảng và Chính phủ hiện nay đang trở thành mục tiêu của các cuộc tấn công mạng.

Tin cùng chuyên mục

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng

13:00 | 19/03/2024

Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).

Giải mã chiến dịch Operation Blacksmith: Nhóm tin tặc Triều Tiên Lazarus sử dụng phần mềm độc hại mới dựa trên DLang

07:00 | 27/12/2023

Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.