Chủ đề

(Chuyên đề) - Những tin tặc tấn công vì động cơ chính trị là loại tội phạm thứ 3 mà đội Tình báo của CrowdStrike theo dõi. Mục đích của những tin tặc này có thể đơn giản là chọc cười hay làm tác động đến các quan điểm hoặc ý kiến cụ thể.

Tin tặc tấn công vì động cơ chính trị (kỳ3)

2u3zjna

Mục lục
[ẩn]

Những tin tặc tấn công vì động cơ chính trị là loại tội phạm thứ 3 mà đội Tình báo củanCrowdStrike theo dõi. Mục đích của những tin tặc này có thể đơn giản là chọc cười hay làm tác động đến các quan điểm hoặc ý kiến cụ thể. Trong năm 2014, có một vài sự kiện đáng chú ý cho thấy khả năng của những tin tặc trong mảng này. Khi bỏ phiếu điện tử tiếp tục được sử dụng ngày càng nhiều ở các quốc gia, việc nhắm mục tiêu vào quá trình và các hệ thống này sẽ tiếp tục được mở rộng.

Nhắm mục tiêu các hoạt động điện tử

Vào tháng 07/2014, hệ thống đăng ký bỏ phiếu điện tử cho cuộc bầu cử Tổng thống Tunisia đã phải hứng chịu một cuộc tấn công mạng khiến hoạt động đăng ký khôngbthể được thực hiện trong suốt một khoảng thời gian. Các nguồn tin đã báo cáo rằng, chính quyền đã kiểm soát được vụ tấn công và đó là một quá trình tấn công có hệ thống, nhằm vào quá trình bầu cử này. Sự cố này là một ví dụ về các cuộc tấn công nhắm vào các hệ thống bỏ phiếu điện tử để thực hiện mục đích.

CYBERBERKUT

Vào tháng 02/2014, nhiều cuộc biểu tình đẫm máu đã diễn ra ở Ukraine dẫn đến chính quyền của thủ tướng ủng hộ Nga bị lật đổ và một chính phủ lâm thời được thành lập với mục đích tạo ra các mối quan hệ chặt chẽ hơn với Liên minh Châu Âu (EU). Sau các cuộc biểu tình này, CyberBerKut là một nhóm tin tặc tự xưng ủng hộ dân tộc đã bắt đầu khởi động các cuộc tấn công nhằm vào các nhà lãnh đạo lâm thời của Ukraine. Nhóm này đã chủ động tuyên truyền về việc công khai chỉ trích chính phủ mới và tuyển dụngn những người ủng hộ chính phủ Nga để tham gia vào các cuộc tấn công mạng từ chối dịch vụ (DDoS) nhằm vào các phương tiện truyền thông và các trang mạng của chính phủ Ukraine. Những cuộc tấn công này có thể đã được đạo diễn bởi các cơ quan nhà nước của Nga, dùng các tin tặc CyberBerKut để có thể chối bỏ trách nhiệm.

Một số cuộc tấn công DDoS nhằm vào Ủy ban Bầu cử Trung ương (CeC) của Ukraine giống như những thông tin mà phương tiện truyền thông của Nga đã công bố, điều này càng chứng tỏ sự phối hợp của họ ở cấp nhà nước. Trong một trường hợp, một cuộc tấn công nhằm vào CeC xảy ra vào khoảng thời gian dự kiến công bố kết quả bầu cử, đồng thời chương trình phát sóng trên phương tiện truyền thông của Nga dường như cũng công bố những kết quả sai lệch về việc một ứng cử viên cực đoan thắng bầu cử với lượng ủng hộ lớn.

Mục đích của cuộc bầu cử này là nhằm gây ra những nhầm lẫn tạm thời đối với kết quả của cuộc bầu cử và nhằm kích động những người quan sát đặt câu hỏi nghi vấn về tính hợp pháp của các cuộc bầu cử đang được tuyên bố là công bằng và được bảo vệ tốt để đối phó với các cuộc tấn công. Nếu hoạt động này thành công, nó có khả năng sẽ kích động bạo lực tại Ukraine, hỗ trợ các tuyên bố của Nga rằng cuộc bầu cử là bất hợp pháp và cần phải có sự can thiệp của Nga để ngăn chặn Ukraine rơi vào tình trạng hỗn loạn hoàn toàn.

Trong khi các cuộc xung đột trước đây giữa Nga và các nước Liên Xô cũ như Esronia và Georgia cho thấy việc sử dụng nhiều chiến thuật trên không gian mạng nhằm đánh sập các cơ sở hạ tầng, làm gián đoạn thông tin liên lạc, thì các nỗ lực chống lại Ukraine dường như được thực hiện trong im lặng và được thiết kế cho một chiến dịch tuyên truyền thông tin sai lệch để kích động bất ổn, giúp Nga có thể can thiệp vào Ukraine với vai trò “sứ giả hòa bình” như đã làm tại Crimea. Cuộc xung đột công khai rộng khắp mà các phương tiện truyền thông toàn cầu đưa tin đi kèm với mối đe dọa về các lệnh trừng phạt nặng được áp đặt bởi phương Tây có thể là một yếu tố ngăn chặn các hoạt động ngày càng tích cực trên không gian mạng của Nga.

Mặc dù cuối cùng chiến dịch này dường như đã gặp thất bại, một phần do người Ukraine đã chuẩn bị phòng thủ, nhưng CrowdStrike phát hiện một số điều đáng quan tâm. Việc sử dụng một máy chủ trung gian để thực hiện các cuộc tấn công nhằm mục đích để chối bỏ trách nhiệm là một điều không hề mới, nhưng sự phối hợp trong công tác tuyên truyền và các báo cáo từ các phương tiện truyền thông Nga đang đặc biệt đề cập đến vấn đề cách thức các cơ quan nhà nước Nga có thể chỉ đạo đồng loạt nhiều bộ phận để đạt được mục tiêu của họ thông qua các công cụ mạng. Ngoài ra, phần mềm tấn công DDoS mà CyberBerKut quảng cáo nhằm giúp các cuộc tấn công DDoS chống lại chính phủ Ukraine thực tế đã cài đặt một cửa hậu trên máy tính của nạn nhân, có thể nhằm cho phép các cơ quan tình báo Nga thành lập một mạng máy tính ma mới từ các máy tính của các “tình nguyện viên” mà có thể được sử dụng vào các cuộc xung đột trong tương lai.

Đội Tình báo của CrowdStrike cũng điều tra các cuộcntấn công nhắm mục tiêu của CyberBerKut nhằm vào các cơ quan, tổ chức của Ukraine đang hoạt động hoặc kinh doanh ở Ukraine. CyberBerKut lần đầu tiên bị phát hiện vào tháng 03/2014 khi nhóm đưa ra tuyên bố về sự bất hợp pháp của chính phủ Ukraine khi lật đổ cựu Tổng thống Viktor Yanukovych. Vào thời gian này nhóm cũng đã phát động các cuộc tấn công DDoS nhằm vào phương tiện truyền thông nhà nước tại Ukraine cũng như chống lại các cơ quan của NATO như Trung tâm Hợp tác Phòng thủ mạng (CCDCOe). Vào tháng 04, CyberBerKut đã nhận trách nhiệm tấn công đánh sập trang mạng của một số công ty quân sự tư nhân – Greystone, Triple Canopy, và Academi mà theo nhóm này thì các công ty đang hoạt động tại Ukraine.

GLO_final_3 nhanuoc 2

Các hoạt động trong năm 2014 của CyberBerKut rất phù hợp với những ưu tiên của chính phủ Nga; tuy nhiên vẫn chưa rõ liệu hoạt động của họ có được nhà nước tài trợ trực tiếp hay không và cũng không rõ đây có phải là một nhóm tin tặc độc lập thực hiện các cuộc tấn công được thúc đẩy bởi những ý tưởng dân tộc của Nga hay không.

Cuộc cánh mạng UMBRELLA REVOLUTION

Lần đầu tiên được phát hiện vào cuối năm 2013, Cộng hòa Nhân dân Trung Hoa (PRC) luôn tăng cường ổn định việc sử dụng các cơ quan tình báo và các hoạt động mạng tại Hong Kong như một phần trong hoạt động ứng phó với các cuộc biểu tình ủng hộ bầu cử phổ thông và tự do dân chủ được thực hiện bởi phong trào Chiếm Trung tâm (Occupy Central – 和平占). Các cuộc biểu tình ở Hong Kong đã thúc đẩy nỗi sợ hãi trong Đảng Cộng sản Trung Quốc, coi đó như một mối đe dọa cho sự cai trị độc đảng ở Trung Quốc đại lục. Mối đe dọa này có khả năng thúc đẩy các hoạt động mạng độc hại nhắm vào nhiều tổ chức khác nhau và các công dân đang ủng hộ cho các cuộc biểu tình tại Hong Kong được đặt tên là Cuộc cách mạng Umbrella Revolution.

Các phương pháp được sử dụng là những chiến thuật trên không gian mạng và các hoạt động tình báo con người (HUMINT) để thu thập thông tin về những người đứng đầu phong trào Chiếm Trung tâm và địa điểm của những người ủng hộ phong trào này, đồng thời có được một bức tranh tổng thể về nhận thức của công dân Hong Kong về các cuộc biểu tình này. Âm mưu này được bắt đầu bởi các chiến dịch xâm nhập các trang mạng chủ chốt liên quan đến phong trào Chiếm Trung tâm vào cuối năm 2013,ntiếp theo là các hoạt động HUMINT sâu rộng vào đầu năm 2014 nghi ngờ được thực hiện bởi các quan chức Bộ An ninh Quốc gia (MSS) để tìm ra những thông tin về các nhân vật có tầm ảnh hưởng tại Hong Kong, đồng thời gây áp lực và thỏa thuận giao kèo với họ để họ hỗ trợ lập trường của Bắc kinh.

Các cuộc biểu tình đã đạt đến đỉnh điểm khi một cuộc trưng cầu dân ý trực tuyến tổ chức vào tháng 06/2014 đã kêu gọi tổ chức các cuộc bầu cử bầu ra Trưởng Đặc khu hành chính Hong Kong. Trong lúc lượng biểu quyết cao nhất, hệ thống lưu trữ trực tuyến – Popvote (qua mức 500 Gbps lưu lượng truy cập) đã bị tấn công từ chối dịch vụ. Những kẻ tấn công đã kiên trì và nhân rộng các vụ tấn công của chúng khi lực lượng phòng thủ có các hành động ứng phó với cuộc tấn công, bắt đầu từ các cuộc tấn công lớp 3, 4 và tăng dần đến các cuộc tấn công cao cấp lớp 7. Mặc dù hệ thống bầu cử đã thu hút hơn 780.000 phiếu bầu, nhưng nỗ lực của Trung Quốc nhằm ngăn chặn cuộc bầu cử này là rất rõ ràng.

Khi các cuộc biểu tình vẫn tiếp tục xảy ra, PRC dường như ngày càng tăng cường nỗ lực giám sát những người biểu tình bằng cách phát tán các mã độc di động trên cả hệ điều hành Android và IOS. Các công cụ truy cập điện thoại từ xa (mRATs) được viết bởi hai đối tượng có quan hệ chặt chẽ với những tin tặc Trung Quốc và dường như đã được 26 thỏa thuận để tùy chỉnh phần mềm độc hại phục vụ cho các mục đích theo dõi thông tin liên lạc và vị trí của những người biểu tình.

Ngoài những cuộc tấn công đặc biệt này cùng với việc mở rộng kiểm duyệt phong trào Umbrella Revolution tại Trung Quốc đại lục, PRC dường như đã có phương pháp xử lý nhanh chóng các cuộc biểu tình khi người biểu tình vẫn kiên trì thực hiện. Một số nhóm tin tặc được biết đến là thuộc trung Quốc như MAVERICH PANDA, VIXEN PANDA, TEMPER PANDA, SABRE PANDA và HURICANE PANDA đã được phát hiện tham các hoạt động liên quan đến biểu tình. Điều này chứng tỏ sự đa dạng trong cách tiếp cận của Trung Quốc khi đối phó với một mối đe dọa ảnh hưởng đến sự cai trị độc đảng của Đảng Cộng sản Trung Quốc. Cùng với các mục tiêu di động nhắm vào hầu hết công dân Hong Kong, sự vô liêm sỉ trong các hoạt động mạng của Trung Quốc ngày càng tăng.

LIZARDSQUAD/DERPTROLLING – Nhóm tin tặc DERPTROLLING

Các cuộc tấn công mạng tập thể của nhóm tin tặc DerpTrolling được thực hiện vào đầu năm 2014 sau khi thực hiện một loạt cuộc tấn công DDoS nhằm vào các công ty game và các máy chủ game trực tuyến. Nhóm tin tặc này có thể không thuộc cộng đồng game Steam, nơi có một số thành viên bị nghi ngờ tham gia vào các cuộc tấn công DDoS nhằm vào các game thủ và máy chủ của họ. Trò hề của DerpTrolling thường có vẻ trẻ con và không có động cơ rõ ràng. Vì lý do này, nhóm tin tặc này không được xếp loại vào các nhóm tấn công vì mục đích chính trị. Mặc dù còn non nớt, DerpTrolling đã liên tục thực hiện các cuộc tấn công nhắm vào mục tiêu của mình, và những cuộc tấn công này có ảnh hưởng trực tiếp đến các nạn nhân trong cộng đồng game thủ. Các cuộc tấn công được đặc biệt chú ý bởi công cụ DDoS của họ có tên gọi là Gaben Laser Beam (GLB) sau khi Gabe Newell, người sáng tạo ra công cụ Half-Life và thành lập cộng đồng Steam, được cho là đã khởi động một cuộc tấn công vượt quá 400 Gbpslưu lượng truy cập bằng cách sử dụng tấn công dựa trên giao thức NTP. Điều này cho thấy DerpTrolling hiểu khá rõ về các giao thức mạng.

Trong khi hình thức tấn công ánh xạ trên NTP thường được biết đến trong cộng đồng bảo mật, hầu hết các tin tặc bình thường không biết đến một số kỹ thuật tiên tiến hơn liên quan đến hoạt động khuyếch đại, cho phép cần ít các thiết bị hơn để tiến hành một cuộc tấn công DDoS lớn hơn. 27Nhóm tin tặc này được báo cáo là đã có một số mâu thuẫn đối với cơ quan thực thi pháp luật. Cuộc chạm trán đã khiến nhóm giảm hoạt động hơn và thực hiện các cuộc tấn công cấp thấp hơn một lần nữa nhằm vào cộng đồng game thủ. Với việc triển khai an ninh yếu kém của cả nhóm, có khả năng các thành viên đang bị theo dõi bởi các cơ quan thực thi pháp luật và họ không thể duy trì các cuộc tấn công cao cấp trong khi trốn tránh để tránh bị bắt giữ.

LIZARDSQUAD

Một nhóm khác cũng triển khai các cuộc tấn công DDoS nhằm vào cộng đồng game thủ là nhóm LIZARDSQUAD. Nhóm tin tặc này cũng giống như DerpTrolling vì kỹ năng kém. Tại thời điểm này, LizardSquad vẫn chưa thể hiện bất kỳ kỹ thuật khuyếch đại tiên tiến nào hơn những kỹ thuật mà trước đó DerpTrolling thể hiện. Nhóm tin tặc này nhanh chóng nổi lên sau các cuộc tấn công nguy hiểm và đã thu hút giới báo chí cũng như các cơ quan thực thi pháp luật. LizardSquad không chỉ tự xưng là chi nhánh của nhóm tin tặc nhà nước hồi giáo (ISIS), mà còn liên quan đến một vụ đe dọa tấn công bằng bom nhắm vào một chuyến bay chở Giám đốc hãng giải trí Sony Online. Mặc dù nhóm này dường như không có quan

  với những nhóm khủng bố khác, nhưng những hoạt động của họ đã nhanh chóng khiến nhóm nổi tiếng trong cả giới tội phạm mạng và thực thi pháp luật. LizardSquad triển khai các biện pháp an ninh thậm chí còn nghèo nàn hơn cả DerpTrolling từng dễ dàng cho phép CrowdStrike theo dõi các thành viên của nhóm. Ngoài ra nhóm cũng thừa nhận đã thuê mạng máy tính ma cũng như chạy các booter, điều đó cho thấy rằng kỹ năng của nhóm này khá thấp. Mặc dù vậy mối đe dọa mà nhóm tin tặc này đặt ra cho các công ty game vẫn còn rất đang lo ngại, đặc biệt khi liên quan đến các mối đe dọa khủng bố; mặc dù có vẻ tầm thường nhưng nhóm tin tặc này vẫn có thể gây ra những hậu quả đáng kể trong thế giới thực.

DEADEYE JACKAL

GLO_final_nha nuoc

Mặc dù DEADEYE JACKAL không nổi tiếng trong giới truyền thông về các hoạt động tấn công cao cấp của mình, nhưng nhóm này vẫn hoạt động. Nhóm thường xuyên tiến hành các hoạt động thay đổi nội dung và đang tập trung cải thiện, củng cố cách thức hoạt động của chúng, nhắm vào nhiều phương tiện truyền thông xã hội cá nhân cùng với một số trang mạng về di động và ứng dụng Android. Nhóm tin tặc này thậm chí đã phát triển và phát hành hệ điều hành riêng của mình dựa trên hệ điều hành Linux có tên gọi là SeANux vào cuối tháng 10/2014. DEADEYE JACKAL liên tục kiểm duyệt các bài báo quốc tế trên mạng được cho là có hại cho Syria hoặc Tổng thống Syria Bashar Assad. Trong dịp Lễ Tạ ơn, nhóm này đã đánh sập hơn 60 trang mạng bao gồm cả các trang của các phương tiện truyền thông 1

Những trang mạng này chủ yếu của Mỹ, Anh, Nhật Bản, Canada, Philippines, New Zealand, Mexico và Nam Phi. Một thông báo trên tài khoản twitter của nhóm này cho thấy, các động cơ tấn công của nhóm nói rằng “Này báo chí: xin đừng giả vờ ISIS là dân thường”. Cuộc tấn công mạng gần đây nhất của DeadEye Jackal là vào ngày 18/12/2014 khi nhóm tin tặc này tấn công trang mạng của tổ chức International Business Times nhằmgỡ bỏ một bài báo về Syria mà nhóm này cho là sai trái 2 . Bài báo bị gỡ bỏ thảo luận về việc làm cạn kiệt nguồn lực quân sự của Tổng thống Assad, tức là quân lính, kể từ khi bắt đầu chiến dịch của Mỹ ở Syria nhằm chống lại nhà nước Hồi giáo. Tuy nhiên bài báo lại sớm được đăng lại bởi tờ International Business Times và hiện vẫn còn 3. DeadEye Jackal thường hạn chế hoạt động trên các trang mạng của chúng, các tài khoản Twitter, Facebook, điều mà khiến các hoạt động thông tin liên lạc của chúng có thể chấm dứt một cách dễ dàng khi Twitter hoặc Facebook khóa tài khoản của chúng. Sẽ là một trò đùa với nhóm tin tặc này khi chúng cứ lập bao nhiêu tài khoản Facebook thì lại bị khóa bằng ấy. Tuy nhiên, nhóm cũng nhận thức được tầm quan trọng và mức độ cần thiết đối với việc phổ biến thông tin một cách đa dạng và ổn định hơn.

Ngoài ra nhóm cũng xác định rằng, các hoạt động thông tin liên lạc cần thiết sẽ ít có cơ hội bị theo dõi bởi những kẻ thù của nhóm hơn. Vào tháng 09/2013, nhóm tin tặc này đã thay đổi nhà cung cấp email, chuyển từ Gmail sang mail.ru. Sự thay đổi này có thể là do nghi ngờ rằng email của chúng đang bị theo dõi sau khi Edward Snowden tiết lộ một số thông tin vào năm 2013. Trong một động cơ khác nhằm bảo vệ sự riêng tư, nhóm tin tặc này đã mở một tài khoản trên VK, trước đây là VKontakte 4 (trang mạng xã hội của Nga tương tự như Facebook được sở hữu bởi tập đoàn Mail.ru và Ello 5 ), một trang mạng xã hội mới luôn tự hào rằng không bán quảng cáo hoặc dữ liệu người dùng cho các nhà quảng cáo. Nhóm cũng tung ra một trang mạng di động và một ứng dụng Android. Những trang này cùng với hàng loạt tài khoản đã được lập trên các trang mạng xã hội Pinterest 6 , Instagram 7 , youTube 8 và Twitter 9 .

Đáng chú ý, nhóm đã phát triển hệ điều hành của riêng mình mang tên SeANux. SeANux cung cấp ít sự cải tiến tổng thể cho các hệ thống chạy trên hệ điều hành Linux như Kali hoặc Backtrack. SeANux sẽ tự động tải một trình theo dõi hệ thống, đưa ra một số yêu cầu cho mạng lưới và tạo ra một thanh thông tin. Thanh này sẽ cung cấp thông tin cho người dùng về hệ thống, tiến trình đang chạy, thời tiết (ở Damascus, DI, Syria), tỷ giá tiền tệ và một số thông tin khác. Ngoài ra trên thanh này còn có một cửa sổ nhỏ cung cấp tin tức từ trang mạng 10 của DeadEye Jackal. Một điểm đáng chú ý của SeANux đó là những công cụ mà nó cung cấp. SeANux cung cấp một số công cụ tấn công bao gồm: Metasploit Framework, SqLMap, nMap, Aircrack và John the Ripper.

SeANux cũng có một tập hợp các công cụ tùy chọn bao gồm:

• SEA SHELL – một trình điều khiển web cơ bản
• UPLOADER – một ứng dụng web để tải các tập tin lên hệ thống mà ứng dụng đó được lưu trữ
• MYSQL EXECUTOR – một ứng dụng web để thực thi các lệnh trên máy chủ MySQL từ xa và tại đó.

• JOOMLA & WORDPRESS SCANNER – một ứng dụng web để kiểm tra xem hệ thống từ xa có đang chạy WordPress hoặc Joomla hay không

• EXECUTER – một vỏ web thô để thực thi các lệnh của hệ thống mà ứng dụng web đó được lưu trữ.

• DDOS ATTACKER – một ứng dụng web cơ bản. Nhóm tin tặc này chỉ định địa chỉ IP mà họ muốn để làm đầy các lưu lượng truy cập TCP hoặc UDP

• WORDPRESS BRUTE FORCE ATTACKER – một ứng dụng web để tạo ra một lực lượng tấn công chống lại một trang WordPress.

• WEB SCANNER – một ứng dụng web để quét các tậptin trong một máy chủ web từ xa

• ORACLE QUERY EXECUTOR – một ứng dụng web để thực thi các lệnh trên máy chủ cơ sở dữ liệu Oracle từ xa hoặc tại đó.

• ACP FINDER – Một ứng dụng web để web những thông tin là bảng điều khiển của quản trị viên
• BACK CONNECTION – một ứng dụng web để tạo ra một kết nối cho phép máy tính khác kiểm soát nơi ứng dụng được lưu trữ
• 5.2.3 SAFEMODE BYPASS / 5.2.11-5.3.0 SAFE MODE BYPASS – cả hai công cụ này đều có tính năng qua mặt một số giao thức PHP được xây dựng trong các biện pháp an ninh.

DeadEye Jackal không mưu mẹo như Anonymous đã làm trong năm 2012 khi họ phát hành hệ điều hành Anonymous – OS, được phát hiện có dính phần mềm gián điệp. SeANux không kết nối với một số nguồn tài nguyên của nhóm tin tặc này như dữ liệu RSS của họ, hình ảnh hoặc trang chủ SeANux tùy chọn trên Firefox. Ngoài các chức năng của một hệ điều hành bình thường, nhóm tin tặc này còn có thể giám sát xem ai đang kết nối với các nguồn tài nguyên này.

FRATERNAL JACKAL

Vào năm 2012, 2013, một cuộc tấn công 4 giai đoạn mang tên Operation Ababil, hoặc OpAbabil đã được thực hiện bởi một nhóm tin tặc Iran nhắm mục tiêu vào các cơ quan tài chính Mỹ bằng các cuộc tấn công DDoS. 31Nhóm tin tặc này bị CrowdStrike theo dõi dưới tên FRATERNAL JACKAL, bị nghi ngờ có quan hệ chặt chẽ với chính phủ Iran. Nhóm tin tặc này đã làm gia tăng số lượng các cuộc tấn công mạng trong giai đoạn căng thẳng kinh tế giữa Iran và các nước phương Tây. Mặc dù có sự nghi ngờ về động cơ chính trị, nhóm này đã công khai xác minh trong một số bài được đăng trên trang chia sẻ Pastebin rằng, động cơ cho các cuộc tấn công là vì những mô tả tiêu cực về sứ giả Muhammad trên một số video đăng tải lên Youtube. Các cuộc tấn công của nhóm tin tặc này chủ yếu được thực hiện bằng cách sử dụng một mạng máy tính ma của máy chủ web ở dạng công khai đã được khai thác thông qua Hệ thống Quản lý Nội dung. Không giống như các mạng máy tính ma truyền thống, trong đó các máy chủ bị nhiễm kết nối với các máy chủ điều kiển để thực hiện nhiệm vụ,mtrong mạng máy tính ma của nhóm tin tặc này, các nút được giao nhiệm vụ trực tiếpbởi nhóm qua nhiều lớp cơ sở hạ tầng.

Đội Tình báo của CrowdStrike liên tục điều tra nhóm tin tặc này trong năm 2014, đặc biệt là tìm kiếm những công cụ mà chúng sử dụng trong các mạng máy tính ma. Vào tháng 10, một kịch bản tấn công qua giao thức PHP đã được xác định có liên quan đến nhóm tin tặc này. Kịch bản này được sử dụng để quét các danh mục tên miền bằng cách phân tích tập tin robots.txt của mỗi tên miền để xác định các máy chủ chạy nền CMS Joomla. Các tên miền được xác định trong kịch bản này được trực tiếp gửi đến một máy chủ điều khiển được mã hóa, điều này chưa từng được CrowdStrike phát hiện trước đây.

Thông thường, việc giám sát máy chủ bằng cách phân tích các tập tin robots.txt của một máy chủ là một công việc bình thường. Tuy nhiên, khi xét trong bối cảnh các hoạt động chiến lược của nhóm tin tặc này, điều này cho thấy nhóm tin tặc này không chỉ đang sử dụng cơ sở hạ tầng giai đoạn đầu của chúng để nhằm vào các mục tiêu, mà còn mở rộng các mạng máy tính ma của mình. Mặc dù Fraternal Jackal không còn công khai công bố động cơ và thông báo về các cuộc tấn công sắp tới trên trang Pastebin, mạng máy tính ma của chúng vẫn hoạt động trực tuyến và có thể thực hiện các cuộc tấn công. Rất có thể trong các sự kiện căng thẳng giữa Iran và các nước Phương Tây, nhóm này có thể công khai nổi lên và tiếp tục thực hiện các chiến dịch tấn công.

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 5)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 5)

2014 là một năm hoạt động vô cùng tích cực của tội phạm mạng. Các phần mềm gián điệp tài chính ngày càng trở nên phức tạp và nguy hiểm hơn. Hai mạng máy tinh ma lớn chuyên...

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Thông điệp (Kỳ 4)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Thông điệp (Kỳ 4)

Trong năm 2014, CrowdStrike Intelligence đã quan sát các hoạt động đáng chú ý từ 39 băng nhóm tin tặc được chính phủ bảo trợ và theo chủ nghĩa dân tộc nhắm mục tiêu vào nhiều lĩnh vực...

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net