Theo các chuyên gia bảo mật tại Microsoft, chiến dịch tấn công được tin tặc thực hiện bằng việc sử dụng backdoor trên các thiết bị để triển khai mã độc và IRC bot để đánh cắp, chiếm đoạt tài nguyên thiết bị. Tin tặc bắt đầu bằng chuỗi tấn công Brute-force các thông tin xác thực để xâm nhậm vào các thiết bị Linux và IoT có cấu hình sai hoặc để cấu hình xác thực yếu theo mặc định ban đầu của nhà sản xuất.
Sau khi xâm nhập vào thiết bị, một phiên bản OpenSSH có chứa Trojan từ một máy chủ ở xa sẽ được tải về và cài đặt trên thiết bị mục tiêu nhằm chiếm đoạn các thông tin xác thực SSH, giúp tin tặc di chuyển được bên trong mạng và che giấu các kết nối SSH bất hợp pháp tới các thiết bị bị xâm hại. Để duy trì tấn công và che giấu các hành động xâm phạm, tin tặc còn được cho là đã cài đặt thêm các rootkit mã nguồn mở như Diamorphine và Reptile (có mã nguồn trên Github) để xóa các bản ghi và nhật ký hệ thống trên thiết bị mục tiêu (Hình 1).
Hình 1. Chuỗi tấn công đào tiền số trên thiết bị Linux hoặc IoT của tin tặc
Để đảm bảo quyền truy cập SSH liên tục vào thiết bị, tin tặc tiến hành chèn thêm hai khóa công khai vào trong tập tin cấu hình khóa xác thực SSH của tất cả người dùng trên hệ thống thiết bị mục tiêu. Sau khi xâm nhập vào thiết bị, các mã độc chạy tiến trình đào tiền số trên thiết bị, thậm chí chúng còn ưu tiên chạy các tiến trình đào do mình tạo ra và loại bỏ các tiến trình đào tiền số khác đã cài bởi nhóm tin tặc khác trước đó nếu có.
Hơn nữa, tin tặc còn triển khai thêm một phiên bản chỉnh sửa của mã độc "ZiggyStarTux" nhằm biến thiết bị thành một IRC bot có khả năng nhận lệnh từ xa bởi máy chủ được điều khiển bởi tin tặc (C2 Server – Máy chủ IRC được điều khiển bởi tin tặc) để thực hiện tấn công từ chối dịch vụ phân tán. Mã độc này được chỉnh sửa từ mã độc botnet khác có tên là "Kaiten" (hay còn gọi là "Tsunami").
ZiggyStartux được đăng ký chạy như một dịch vụ hệ thống trên thiết bị mục tiêu và được cấu hình dịch vụ tại tệp tin /etc/systemd/system/network-check.service. Sự giao tiếp giữa ZiggyStartux Bots tới máy chủ C2 được che giấu và duy trì thông qua việc sử dụng tên miền phụ của một tổ chức tài chính Đông Nam Á hợp pháp.
Microsoft quy kết chiến dịch tấn công này cho người dùng có tên "Asterzeu" trên diễn đàn tấn công mạng là cardingforum.cx. Người dùng này đã cung cấp nhiều công cụ tấn công để bán đối với các nền tảng linux, bao gồm cả backdoor SSH.
Các công bố về chiến dịch tấn công này của Microsoft diễn ra hai ngày sau khi một báo cáo về chiến dịch tấn công tương tự đã được xuất bản bởi Trung tâm ứng phó bảo mật khẩn cấp Ahnlab. Chiến dịch tấn công bao gồm mã độc Tsunami - một tên khác cho Kaiten hay một dạng DDoS Bot được cài đặt trên các máy chủ Linux SSH được cấu hình yếu. Theo phân tích của các chuyên gia an ninh mạng Microsoft, Tsunami được sử dụng để cài đặt nhiều công cụ độc hại và đào tiền điện tử khác nhau, như shellbot, xmrig coinminer và log Cleaner.
Đinh Văn Hùng
(Học viện Kỹ thuật mật mã)
11:00 | 21/03/2023
15:00 | 04/08/2023
14:00 | 17/10/2022
10:00 | 26/05/2023
15:00 | 20/12/2023
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
08:00 | 22/07/2024
Ba lỗ hổng bảo mật được phát hiện trong ứng dụng quản lý thư viện CocoaPods cho các dự án Cocoa Swift và Objective-C có thể bị khai thác để thực hiện các cuộc tấn công chuỗi cung ứng phần mềm, gây ra rủi ro nghiêm trọng đối với người dùng cuối.
09:00 | 10/06/2024
Ngày 08/6, trang web chia sẻ video nổi tiếng của Nhật Bản Niconico đã tạm dừng cung cấp các dịch vụ sau khi hứng chịu một cuộc tấn công mạng quy mô lớn.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024