Một băng đảng hacker Trung Quốc đã sử dụng phần mềm độc hại để tấn công vào hệ thống của công ty bảo mật RSA Security trong năm 2011 và thâm nhập vào hơn 100 công ty và tổ chức, và băng đảng này còn rất háo hức khi ăn cắp dữ liệu từ một hội nghị các nhà phát triển viễn thông lớn nhằm tìm cách thức mới để giám sát các tập đoàn.
Theo hai nhà nghiên cứu kỳ cựu của Dell SecureWorks, những người đã trình bày phát hiện của họ tại Hội nghị bảo mật Black Hat gần đây cho biết: Các phần mềm Trojan truy cập từ xa - hoặc RAT (phần mềm độc hại) - được biết đến với cái tên "Comfoo" chính là công cụ được sử dụng phần lớn trong các cuộc tấn công này.
Không những thế, phát hiện của họ còn cho thấy cách mà một nhóm hacker chuyên nghiệp có thể di chuyển khắp nơi và thâm nhập vào các mạng ăn cắp thông tin rồi tẩu thoát không một dấu vết.
"Chúng tôi chưa từng nhìn thấy nó được sử dụng với một phạm vi rộng như vậy trước đây", ông Joe Stewart - Giám đốc nghiên cứu malware (phần mềm chứa mã độc) tại SecureWorks - cho biết khi giải thích lý do tại sao ông và bạn học Đại Học là Don Jackson lại tiết lộ chiến dịch bí mật của họ.
Digital Stakeout - Vào hang cọp để bắt cọp
Trong hơn 18 tháng, Stewart và Jackson, giám đốc đơn vị phụ trách các mối đe dọa truy cập mạng của SecureWorks (CTU), đã bí mật theo dõi một số hoạt động của Comfoo, họ tin rằng đây là việc làm của một nhóm tin tặc mà họ đặt tên là Beijing Group. Băng đảng này là một trong hai tổ chức tin tặc hàng đầu của Trung Quốc.
Để bắt đầu, Stewart đã sử dụng một mẫu phần mềm độc hại đã được sử dụng trong các cuộc tấn công RSA Security hồi năm 2011, do tin tặc Trung Quốc lây nhiễm, sau đó sử dụng thuật toán đảo ngược các đoạn mã hóa các phần mềm độc hại được các tin tặc sử dụng để đánh dấu các chỉ dẫn nhận và gửi từ các máy chủ ra lệnh và kiểm soát (C&C) của băng đảng này
Cuối cùng, Stewart đã có thể để theo dõi các tin tặc này khi chúng đăng nhập vào các máy chủ C&C. Như cách mà bọn tin tặc đã làm, Stewart "bắt cóc" địa chỉ máy chủ MAC của nạn nhân- định danh duy nhất cho phần cứng của mạng IP (giao thức Internet), và cuối cùng là một thẻ tag thường được tin tặc sử dụng để dán nhãn cho mỗi chiến dịch đánh cắp dữ liệu.
SecureWorks đã không thể tìm thấy những dữ liệu bị những kẻ tấn công ăn cắp, nhưng sự giám sát thụ động của họ đã gặt hái được khá nhiều thành quả quan trọng.
"Chúng tôi đã thực hiện giải mã các vụ tương tự như thế này trước đây", Stewart nói, "nhưng với các công cụ tùy chỉnh, bạn hiếm khi có thể tìm hiểu sâu hoặc biết được mức độ chi tiết của các cuộc tấn công và nạn nhân".
Thông báo cho nạn nhân
SecureWorks cho biết nhờ giải pháp stakeout (vào hang cọp để bắt cọp) ở trên, với tính chất "vô hình" của nó giúp đảm bảo rằng các tin tặc trong băng đảng Trung Quốc không biết họ đã bị theo dõi, và phát hiện ra hơn 100 nạn nhân, hơn 64 chiến dịch khác nhau và hơn 200 biến thể của Comfoo.
Công ty an ninh có trụ sở tại Atlanta này đã thông báo trực tiếp cho một số nạn nhân, và một số khác thông qua các đội phản ứng khẩn cấp về các vấn đề an ninh máy tính của chính phủ (CERT).
Đặt làm trang chủ