Category Archives: Security

Hiểm họa RAT tấn công trên toàn châu Á

2013/06/19 – Các nhà nghiên cứu về an ninh mạng đang cảnh báo người dùng Internet về một chiến dịch tấn công quy mô lớn chưa từng có, sử dụng các công nghệ và kỹ thuật tinh vi nhằm công kích ngầm vào các chính phủ, các tổ chức trên khắp châu Á.

Hãng bảo mật Trend Micro đã gọi chiến dịch này là Naikon, dựa vào chuỗi HTTP user-agent mang tên “NOKIAN95/WEB” được tìm thấy trong những đợt tấn công có chủ đích trên khắp lãnh thổ Ấn Độ, Malaysia, Singapore, Việt Nam và những nơi khác.

Theo Maharlito Aquino, nhà phân tích hiểm họa của Trend Micro, những cuộc tấn công này được thực hiện với cách thức quen thuộc là dùng một email lừa đảo “spear-phishing” mang những thông điệp có liên quan đến các vấn đề ngoại giao ở khu vực Châu Á Thái Bình Dương. Các mục tiêu tấn công nhằm vào từ các chính phủ cho đến phương tiện truyền thông, các tổ chức năng lượng, viễn thông…

Tập tin đính kèm email mang mã độc khai thác một lỗ hổng trong Windows Common Controls có tên CVE-2012-0158, từng được sử dụng trong chiến dịch “Safe” được phát hiện bởi các nhà nghiên cứu hồi tháng trước và được cho là có liên quan đến “thế giới ngầm tội phạm mạng ở Trung Quốc”. Khi tập tin đính kèm được mở, nạn nhân chỉ nhìn thấy một “văn bản mồi”, tuy nhiên trong thực tế BKDR_RARSTONE Remote Access Tool (RAT) đang xâm nhập vào hệ thống người dùng.

RARSTONE-1371445536_500x0
Phương thức hoạt động của BKDR_RARSTONE.

Được phát hiện đầu tiên vào hồi tháng 2 và sau đó được dùng trong các cuộc tấn công bằng email sử dụng dòng tiêu đề “Boston Marathon Bombings” để thu hút người xem, RARSTONE dùng một số kỹ thuật để tránh né sự phát hiện của các công cụ an ninh thông thường. Chẳng hạn, RAT thực hiện tải thành phần cửa hậu (backdoor) của nó từ một máy chủ C&C trực tiếp vào bộ nhớ, che giấu nó khỏi những phần mềm quét file thông thường.

Theo Aquino, điều khiến RARSTONE khác biệt với PlugX và những RAT khác là ở khả năng lấy thông tin của các phần mềm cài đặt từ Uninstall Registry Keys. Điều này có nghĩa là nó biết được những ứng dụng nào đã được cài đặt vào hệ thống và bằng cách nào để gỡ bỏ chúng. RARSTONE cũng sử dụng SSL để mã hóa việc truyền đạt thông tin giữa nó và máy chủ C&C, điều đó không chỉ giúp bảo vệ kết nối này mà còn giúp nó trà trộn vào lưu lượng truyền tải thông thường. Những kẻ tấn công cũng có ý muốn che giấu những đợt tấn công của mình bằng việc sử dụng các tên miền DNS động hay đăng ký bảo vệ riêng tư.

Không có bất kỳ thông tin chính xác về những gì mà những kẻ tấn công đang nhắm đến trong chiến dịch này, dù BKDR_RARSTONE có thể thực hiện tất cả các “chiêu” backdoor thông thường như truy cập, download/upload dữ liệu, tự cập nhật, thay đổi những thiết lập trên máy tính.

Hiện Trend Micro đã kêu gọi các tổ chức tăng cường hàng rào phòng thủ chống lại những cuộc tấn công dạng này bằng việc bổ sung những công cụ để giám sát sự an toàn của dữ liệu và kiểm soát sự xâm nhập từ bên ngoài.

Advertisements

Tài khoản Twitter của AP bị hack và tung tin đồn Obama bị thương, phố Wall mất 136,5 tỷ USD

AP_Tweet

Dòng Tweet thất thiệt trên tài khoản Twitter của hãng tin AP

Khoảng nửa đêm qua theo giờ Việt Nam, tài khoản Twitter của hãng tin nổi tiếng Associated Press(AP) đã cho đăng tải dòng thông tin như sau: “Hai vụ nổ tại Nhà Trắng và Barack Obama bị thương”. Tin tức này nhanh chóng đến với hàng nghìn người đang follow AP và tạo ra một làn sóng lo lắng trên khắp nước Mỹ. Phố Wall phản ứng lại với dòng tweet này bằng đợt giảm điểm mạnh các chỉ số chứng khoán quan trọng, chẳng hạn như chỉ số Dow Jones giảm 100 điểm. Chỉ số S&P 500 đang đạt giá trị khoảng 14.600 tỉ USD thì bỗng chốc đã mất gần 136,5 tỷ USD trong chỉ hai phút. Ngay sau đó, AP xác nhận rằng tài khoản của họ đã bị hack, còn nhân viên Mike Baker tiết lộ đợt tấn công này chỉ xuất hiện sau khi các phóng viên AP nhận được “một email lừa đảo rất ấn tượng”.

Nhóm hacker “Syrian Electronic Army” (tạm dịch: Đạo quân điện tử của Syri) đã đứng ra chịu trách nhiệm về vụ tấn công này. Họ nói trên trang twitter của mình là “Ôi! @AP đã bị sở hữu bởi Syrian Electronic Army”. Trên tài khoản của AP_Mobile cũng có ghi dòng chữ “Syrian Electronic Army Was Here” (Đạo quân điện tử của Syri đã ở đây). FBI hiện đã vào cuộc để điều tra về vụ án này. Được biết cách đây ít hôm tài khoản Twitter của hãng thông tấn CBS cũng đã bị hack bởi “Syrian Electronic Army”. Dấu hiệu chung của các dòng tweet giả đó là các nó không tuân theo các quy tắc thông thường của hãng tin, ví dụ như tweet của AP có chữ “Explosion” bỗng nhiên viết in chữ cái đầu, tên tổng thống Mỹ thì ghi đầy đủ ra.

Về việc thị trường chứng khoán Mỹ bị giảm điểm mạnh, các chuyên gia và giới phân tích cho rằng điều này diễn ra bởi các nhà đầu tư đã ra lệnh bán cắt lỗ tự động bằng máy tính. Barry Schwartz, Giám đốc quỹ đầu tư Baskin Financial Services tại Canada nhận xét rằng phản ứng quá mạnh của thị trường đối với một tin đồn thất thiệt như thế này chỉ có thể gây ra do việc giao dịch bằng máy tính. Ông nói “điều đó thật đáng sợ”.

Syrian_Electronic_Army
Dòng tweet của Syrian Electronic Army