Nhóm gián điệp mạng Darkhotel tăng cường tấn công nhờ rò rỉ từ Hacking Team

pull-icon
logo-mobile

Danh mục

Nhóm gián điệp mạng Darkhotel tăng cường tấn công nhờ rò rỉ từ Hacking Team

Sau khi những tập tin của Hacking Team – công ty bán “phần mềm gián điệp hợp pháp” cho nhiều chính phủ và cơ quan thi hành pháp luật – bị rò rỉ thì nhiều nhóm gián điệp mạng bắt đầu sử dụng công cụ mà công ty này cung cấp cho khách hàng để thực hiện tấn công, bao gồm nhiều cuộc khai thác nhắm vào Adobe Flash Player và hệ điều hành Windows. Một trong những cuộc tấn công đó đã được nhóm gián điệp mạng Darkhotel thực hiện.

Năm 2014, các chuyên gia Kaspersky Lab đã phát hiện Darkhotel – nhóm gián điệp xuất sắc, nổi tiếng với hành động thâm nhập vào mạng Wi-Fi ở những khách sạn cao cấp nhằm gây tổn hại cho nhiều giám đốc điều hành – đã sử dụng một lỗ hổng zero-day của Hacking Team từ đầu tháng 7, ngay sau khi nhiều tập tin từ Hacking Team bị rò rỉ vào ngày 5 tháng 7. Chưa từng là khách hàng của Hacking Team nhưng có vẻ như Darkhotel đã có được những tập tin này ngay khi chúng bị công khai.

Kaspersky Lab ước tính trong nhiều năm vừa qua, nhóm này dường như đang đầu tư một số tiền đáng kể để bổ sung vào kho vũ khí của mình khi nó không chỉ đi qua một lỗ hổng zero-day mà là rất nhiều, nhắm vào Adobe Flash Player. Vào năm 2015, Darkhotel mở rộng phạm vi địa lí ra khắp thế giới trong khi vẫn tiếp tục lừa đảo bằng email ở Triều Tiên, Hàn Quốc, Nga, Nhật Bản, Bangladesh, Thái Lan, Ấn Độ, Mozambique và Đức.

Hỗ trợ song song từ Hacking Team

Các nhà nghiên cứu bảo mật tại Kaspersky Lab đã nhận ra công nghệ mới và hoạt động của Darkhotel, mối nguy hiểm thường trực khét tiếng đã hoạt động được gần 8 năm. Trong những lần tấn công vào năm 2014 và trước đó, nhóm này đã lạm dụng chứng chỉ số bị đánh cắp và sử dụng phương thức khác thường để đặt công cụ gián điệp vào hệ thống mục tiêu như tấn công Wi-Fi khách sạn. Năm 2015, nhiều công nghệ và hoạt động trong số đó được giữ lại nhưng Kaspersky Lab cũng phát hiện ra nhiều biến thể của tập tin độc hại có thể chạy được trên máy tính, việc tiếp tục sử dụng chứng chỉ đánh cắp được, liên tục nhại lại kĩ thuật thu thập thông tin cá nhân một cách bất hợp pháp và triển khai lỗ hổng zero-day từ Hacking Team:

  • Tiếp tục sử dụng giấy chứng nhận bị đánh cắp. Có vẻ là Darkhotel lưu giữ một kho các chứng chỉ đánh cắp được và triển khai phần mềm download và bí mật viết kí hiệu lên chúng để lừa hệ thống mục tiêu. Một số chứng nhận bị thu hồi gần đây bao gồm các chứng nhận của Xuchang Hongguang Technology Co. Ltd, công ty có chứng chỉ được dùng trong những lần tấn công trước.
  • Không ngừng lừa đảo bằng email. APT Darkhotel rất kiên nhẫn khi cố gắng lừa đảo mục tiêu bằng email, nếu không thành công, nó sẽ quay trở lại sau vài tháng và tiếp tục với kế hoạch tương tự.
  • Thực hiện khai thác lỗ hổng zero-day từ Hacking Team. Tisone360.com – website bị tấn công chứa rất nhiều bí mật. Thú vị nhất trong số đó là lỗ hổng zero-day của Hacking Team Flash.

Kurt Baumgartner, Trưởng ban Nghiên cứu Bảo mật tại Kaspersky Lab, cho biết: “Darkhotel đã trở lại với việc khai thác Adobe Flash Player dựa trên website bị tấn công và lần này có vẻ là nhờ vào sự rò rỉ từ Hacking Team. Nhóm này đã từng khai thác một Flash khác trên cùng website mà chúng tôi đã thông báo cho Adobe vào tháng 1 năm 2014. Trong nhiều năm qua, Darkhotel đã tấn công rất nhiều Flash zero-day và half-day và có thể sẽ còn tiếp tục tấn công chính xác hơn vào những nhân vật cấp cao trên toàn thế giới. Từ những lần tấn công trước, chúng tôi thấy rằng Darkhotel đã do thám nhiều giám đốc điều hành, phó chủ tịch, giám đốc bán hàng và marketing, và nhân viên nghiên cứu và phát triển cấp cao”.

Từ năm ngoái, nhóm này đã làm việc cật lực để nâng cao kĩ thuật phòng thủ, như mở rộng danh sách công nghệ chống bị phát hiện của mình. Phiên bản downloader 2015 của Darkhotel được thiết kế để xác định công nghệ chống virus từ 27 nhà cung cấp với mục đích là phớt lờ chúng.

Để biết thêm thông tin, vui lòng truy cập Securelist.com.

Bài viết liên quan

Số lượng tấn công bằng ransomware nhắm vào doanh nghiệp vừa và nhỏ tại Đông Nam Á năm 2020 đã giảm so với năm 2019
Số lượng tấn công bằng ransomware nhắm vào doanh nghiệp vừa và nhỏ tại Đông Nam Á năm 2020 đã giảm so với năm 2019

Công ty an ninh mạng toàn cầu Kaspersky cho biết số lượng các tấn công ransomware nhắm vào người dùng là doanh nghiệp vừa và nhỏ (DNVVN) trong khu vực Đông Nam Á (SEA) đã giảm đi đáng kể.

Bảo vệ bản thân trong thời đại tiền mã hóa đang lên ngôi
Bảo vệ bản thân trong thời đại tiền mã hóa đang lên ngôi

Tiền điện tử đang bùng nổ trở lại tại Việt Nam khi các nhà đầu tư nhận thấy tiềm năng đầy hứa hẹn của đồng tiền này. Trong khi đó, nhà nước và chuyên gia liên tục cảnh báo về các rủi ro có thể xảy ra, bao gồm cả tội phạm mạng.

Giải pháp giúp con trẻ không truy cập vào những nội dung xấu
Giải pháp giúp con trẻ không truy cập vào những nội dung xấu

Năm 2020, Kaspersky đã ngăn chặn cố gắng của trẻ để truy cập vào các trang web có nội dung độc hại như khiêu dâm (0,5%), phân biệt đối xử (0,24%), vũ khí (0,05%), cá cược (0,05%) và ma túy (0,02%).

Mô hình làm việc tại gia đã tạo ra những xu hướng nào cho cuộc sống đô thị?
Mô hình làm việc tại gia đã tạo ra những xu hướng nào cho cuộc sống đô thị?

Khủng hoảng khiến các quốc gia phải tìm kiếm những cơ hội mới, và việc chuyển sang mô hình làm việc tại gia (WFH) khi xảy ra đại dịch cũng không phải ngoại lệ.

Báo cáo Kaspersky tiết lộ những thay đổi đáng kể trong thói quen trực tuyến của trẻ em Việt Nam năm 2020
Báo cáo Kaspersky tiết lộ những thay đổi đáng kể trong thói quen trực tuyến của trẻ em Việt Nam năm 2020

Khi đại dịch bùng nổ trên toàn cầu năm 2020, công nghệ càng trở nên hữu ích với mọi người. Và khi đó, nhiều người dùng Việt bao gồm cả trẻ em nhận thấy máy tính không chỉ là phương tiện giải trí, mà còn là công cụ học tập, giao tiếp và phát triển bản thân. Số liệu từ báo cáo của Kaspersky cho thấy đại dịch đã có những ảnh hưởng nhất định đến hoạt động trực tuyến của trẻ tại Việt Nam.

Nhận ưu đãi Bỏ qua