Chủ đề

(Chuyên đề) - Hiểu về kẻ thù để có thể bảo vệ hệ thống mạng hiệu quả hơn. Phát hiện, ngăn chặn và phòng vệ trước những kẻ tấn công tinh vi nhất hiện nay.

          Tác động của việc báo cáo công khai về hoạt động của kẻ thù (kỳ 1)

000_hkg1393380_iiaw (1)

Mục lục
[ẩn]

Trong Báo cáo Mối đe dọa toàn cầu năm 2013, CrowdStrike đã thảo luận về một nhóm
tin tặc Nga được đặt tên là ENERGETIC BEAR. Từ tháng 07/2014, nhiều hãng bảo mật
đã tiết lộ thêm thông tin về nhóm tin tặc này.

Nhóm tin tặc này trước đó đã cho thấy nhiều hơn là một nhận thức cơ bản về hoạt
động an ninh (OPSEC). Không ngạc nhiên, ENERGETIC BEAR đã nhanh chóng từ bỏ cơ sở hạ tầng điều khiển và kiểm soát (C2) trang web bị tấn công mà họ đã sử dụng cho các hoạt động này. Mặc dù các máy bị lây nhiễm vẫn tiếp tục đưa ra hướng dẫn cho các máy chủ C2 nhưng không đưa ra thêm nhiệm vụ.

Từ khi bị tiết lộ công khai, không có hoạt động phát triển mã độc mới được sử dụng
bởi ENERGETIC BEAR – chủ yếu là Havex và mã độc điều khiển từ xa (RAT) SYSMain – được quan sát thấy. Bộ công cụ này đã được phát triển trong một khoảng thời gian ít
nhất 5 năm và việc mất đi bộ công cụ này đã khiến các tin tặc phải bước vào giai đoạn
tái trang bị. Các yêu cầu tình báo cơ bản thúc đẩy hoạt động của họ có vẻ không thay
đổi, tuy nhiên, dường như ENERGETIC BEAR sẽ tái xuất hiện với một bộ công cụ mới
trong tương lai.

Vào tháng 06/2014, CrowdSrike đã phát hành 13 12 báo cáo công khai trình bày chi tiết
một cáo buộc rằng một nhóm tin tặc được đặt tên là PUTTER PANDA chính là Cục 12
thuộc Tổng cục 3 Quân Giải phóng Nhân dân Trung Quốc, hay còn được biết đến với
tên gọi Đơn vị 61486. Cáo buộc này đã được củng cố bởi việc một trong những kẻ điều
hành của PUTTER PANDA đã đăng những bức ảnh chụp căn cứ hoạt động của đơn vị
này lên mạng xã hội, sử dụng các tài khoản có thể liên kết với các tên miền C2 – một lỗi
OPSEC nghiêm trọng. Sau khi CrowdStrike công bố báo cáo, tài khoản mạng xã hội có
chứa hình ảnh trụ sở của đơn vị này đã bị xóa và PUTTER PANDA dường như đã ngừng sử dụng các công cụ bị CrowdStrike xác định.

Một tiết lộ quan trọng khác về các nhóm tin tặc chính là báo cáo về Đơn vị 61398 (hay
còn lại là COMMENT PANDA) vào tháng 02/2013. Mặc dù nhóm này cũng bắt đầu “ẩn
mình” sau khi báo cáo được phát hành nhưng có những dấu hiệu cho thấy chúng đã
bắt đầu hoạt động trở lại vào tháng 10/2013.

Việc công bố thông tin liên quan đến các hoạt động đang diễn ra đã được tranh luận
sôi nổi trong cộng đồng bảo mật thông tin. Nhiều người cho rằng các tiết lộ này chính
là hành động tiếp thị hoặc tự quảng bá bản thân. Mặc dù động cơ xung quanh các tiết

lộ này là để thảo luận, các quan sát cho thấy các tiết lộ công khai đã có ảnh hưởng đáng
kể đến các hoạt động của tin tặc.

Ngày càng trở nên rõ ràng rằng các ưu tiên của các tổ chức bảo trợ hoạt động gián điệp
mạng không bị ảnh hưởng bởi các tiết lộ này. Rất có thể các băng nhóm tin tặc đã bị
công khai sẽ trở lại các hoạt động cũ với những bộ công cụ mới nếu họ chưa có. Cách
tiếp cận của CrowdStrike với các tiết lộ công khai luôn cân bằng lợi ích của việc làm
gián đoạn các hoạt động với với nguy cơ mất khả năng quan sát các hành động của kẻ
thù bằng cách thay đổi TTP.

Sự cân bằng này có được bằng cách xem xét báo cáo công khai hiện có và phản ứng có
thể có của kẻ thù. Điều này sau đó sẽ được xem xét về mặt Lợi ích / tổn thất tình báo
(IGL), bao gồm giá trị tình báo tiềm năng của một tiết lộ, ảnh hưởng tiềm tàng đối với
khả năng theo dõi kẻ thù và việc này ảnh hưởng đến khả năng bảo vệ khách hàng như
thế nào? Việc buộc kẻ thù tái trang bị đồng nghĩa với việc chi phí hoạt động tăng lên;
chúng phải đầu tư vào các công cụ, cơ sở hạ tầng mới và hoạt động đào tạo, có thể sẽ
có những hậu quả cho mức độ trắng trợn trong tương lai của kẻ thù.

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 9)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 9)

Lỗ hổng chưa từng được biết đến này trong trình duyệt Internet Explorer, cho phép thực thi mã thông qua mã JavaScript đặc biệt, khiến nó trở thành một công cụ lý tưởng cho các...

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 8)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 8)

Sự xuất hiện của một số lỗ hổng chưa từng được biết đến trước đó (lỗ hổng zero day) thường là một sự xuất hiện bất thường. Những sự kiện này khi mới đầu phát...

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 7)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 7)

Những tin tặc tấn công vì động cơ chính trị là loại tội phạm thứ 3 mà đội Tình báo của CrowdStrike theo dõi. Mục đích của những tin tặc này có thể đơn giản là chọc cười hay...

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net