Tin tặc tấn công các doanh nghiệp, khoa học và truyền thông Ukrainian với Malware Hijacks Microphones


Ukraine trở thành một mục tiêu tấn công của các tin tặc nhầm mục tiêu lây nhiễm virut gián điệp  trên toàn hệ thống máy tính trên hàng chục doanh nghiệp Ukraina với phần mềm độc hại rất tinh vi, cho phép Hacker kiểm soát dữ liệu nhạy cảm và nghe lén trên mạng của họ.




Năm ngoái, Ukraine sự kiên mất điện hàng loạt cùng lúc được gây ra bởi  nhóm hacker nhắm mục tiêu lưới điện của Ukraine với các phần mềm độc hại BlackEnergy vào cuối năm 2015, khiến 225.000 người dân bị mất điện.

Hiện tại các nhà nghiên cứu bảo mật từ công ty tình báo mối đe dọa CyberX đã phát hiện ra một hoạt động phần mềm độc hại dựa trên tiên tiến đã bòn rút hơn 600 gigabyte dữ liệu từ khoảng 70 tổ chức nạn nhân, bao gồm cả cơ sở hạ tầng quan trọng, phương tiện truyền thông tin tức, và nghiên cứu khoa học.

Operation BugDrop (Chiến dịch BugDrop) : Thiệt hại và cách làm việc

"Operation BugDrop" chiến dịch phần mềm độc hại quy mô lớn đã được gây ra đối với các mục tiêu ở Ukraina, mặc dù mục tiêu từ các nước khác bao gồm Nga, Ả Rập Saudi, và Áo.
Các nhà nghiên cứu CyberX đã không xác định danh tính của các nhóm Hacker này, họ cũng đưa ra giả thuyết rằng đây là nhóm Hacker công nghệ cao được đào tạo và hậu thuẫn của các quốc gia có nguồn lực lớn.

"Chiến BugDrop là một hoạt động được tổ chức tốt mà sử dụng phần mềm độc hại phức tạp và dường như được hỗ trợ bởi một tổ chức có nguồn lực đáng kể," đọc các bài đăng blog CyberX công bố.

"Đặc biệt, các hoạt động đòi hỏi một cơ sở hạ tầng Back-end ( gồm có các thành phần để xử lí các thông tin) lớn để lưu trữ, giải mã và phân tích vài GB mỗi ngày của dữ liệu phi cấu trúc đang được bắt từ các mục tiêu của nó. 

Một nhóm lớn các nhà phân tích  được yêu cầu phải tự sắp xếp thông qua bắt dữ liệu và xử lý nó bằng tay và / hoặc phân tích với Big Data. "

Cách thức làm việc của các phần mềm đọc hại này :
Operation BugDrop sử dụng phần mềm độc hại đã được thiết kế để xâm nhập vào máy tính người dùng chụp lại màn hình,sao chép tài liệu và mật khẩu,bật microphone của máy tính để nắm bắt âm thanh ghi âm của tất cả các cuộc hội thoại.

Những mã đọc này sẽ cài vào các tài liệu Microsoft Word của nạn nhân hay được gửi tới email của họ. Một khi bị nhiễm, điều khiển máy tính gửi các âm thanh và dữ liệu đánh cắp để Dropbox, nơi các tin tặc lấy nó.

Các phần mềm độc hại sẽ mở  micro của nạn nhân và ghi âm lại  và sau đó gửi các tập tin âm thanh và dữ liệu đến Dropbox, vì vậy các nhà nghiên cứu đã đặt tên cho chiến dịch phần mềm độc hại hoạt động BugDrop.


Cách mà việc của Dropbox : 

Các tin tặc phát tán phần mềm độc hại thông qua các email lừa đảo có chứa Microsoft Office tập tin đính kèm bao gồm macro độc hại nhúng trong nó.

Một khi các mục tiêu mở tài liệu Word phần mềm  trực quan bắt đầu chạy trong một thư mục tạm thời trong nền máy tính.

Các chức năng chính của BugDrop tải các loại plugin đánh cắp dữ liệu đến máy tính bị nhiễm và thực thi chúng. Tất cả các dữ liệu bị đánh cắp các phần mềm độc hại thu thập sau đó được tải lên Dropbox.

Mặc dù BugDrop chủ yếu được thiết kế để ghi lại các tập tin âm thanh, phần mềm độc hại cũng có thể ăn cắp các tài liệu, mật khẩu và các dữ liệu nhạy cảm khác từ trình duyệt của máy tính.

Kỷ thuật ẩn mình tránh bị phát hiện của BugDrop :
Khi tải các phần mềm về tỉ lệ phát hiện ra phần mềm độc hại rất là thấp bởi vì cách thức hoạt động của nó như dữ liệu âm thanh... máy tính sẽ không nhận dạng ra nó và nó như một tập tin vô hại.

BugDrop mã hóa các file DLL được cài đặt để tránh bị phát hiện bởi phần mềm virut truyền thống và tích hợp các phần mềm điện toán đám mây như dropbox.
BugDrop cũng sử dụng DLL (Dynamic Link Library), một kỹ thuật phần mềm độc hại cũng đã được thừa hưởng bởi các phần mềm độc hại BlackEnergy được sử dụng trong các cuộc tấn công mạng lưới điện Ukraina và các phần mềm độc hại Duqu trong các cuộc tấn công Stuxnet vào các cơ sở hạt nhân của Iran.

DLL được sử dụng để tải mã độc và để bên ngoài một cách hiệu quả các thủ tục xác minh an ninh theo chuẩn của Windows .

Mục tiêu của BugDrop :

Các phần mềm độc hại đã nhắm mục tiêu là các ngành công nghiệp bao gồm cơ sở hạ tầng quan trọng, trung tâm nghiên cứu ở Ukraine và các tổ chức truyền thông.

Theo CyberX, mục tiêu chính của BugDrop là nhầm vào Ukraina, nhưng nó cũng đã được tìm ra nguồn từ các bộ phận khác của Nga, Ả Rập Saudi, và Áo.

Mục tiêu hoạt động BugDrop xác định bởi các nhà nghiên cứu CyberX đến nay bao gồm:

  •     Một công ty chuyên thiết kế các hệ thống giám sát từ xa đối với cơ sở hạ tầng đường ống dẫn dầu và khí đốt.
  • Một công ty kỹ thuật chuyên thiết kế trạm biến áp điện, các nhà máy cấp nước và đường ống phân phối khí.
  • Một tổ chức quốc tế giám sát chống khủng bố, nhân quyền, và tấn công vào cơ sở hạ tầng quan trọng ở Ukraine.
  • Một viện nghiên cứu khoa học.
  • Biên tập viên của tờ báo tiếng Ukraina.

Trong khi kết luận báo cáo, CyberX cho biết cả hai tổ chức khu vực tư nhân và công cộng cần phải thận trọng hơn trong việc theo dõi các mạng của họ và áp dụng công nghệ hiện đại hơn như phân tích hành vi để xác định và nhanh chóng đáp ứng với những cuộc tấn công mạng ngày càng tinh vi.
(Internet)



Nhãn: