Chủ đề

(Chuyên đề) - Lỗ hổng chưa từng được biết đến này trong trình duyệt Internet Explorer, cho phép thực thi mã thông qua mã JavaScript đặc biệt, khiến nó trở thành một công cụ lý tưởng cho các chiến dịch xâm nhập web (SWC) hoặc các hoạt động mục tiêu. Có hai chiến dịch liên quan đến lỗ hổng CVe-2014-0322.

CVE-2014-0322 – Lỗ hổng tự khai thác các mã thực thi (kỳ 5)

9EN_01122417_9100

Mục lục
[ẩn]

Chiến dịch đầu tiên được xác định công khai vào tháng 02/2014 và đã được công bố trên trang web của tổ chức Veterans of Foreign Wars (VFW). Sự cố này phát tán công cụ truy cập từ xa (RAT) được công bố công khai có tên là ZxShell, được kết nối với một máy chủ điều khiển và kiểm soát tại địa chỉ newss.effers.com. Đây là tên miền mà CrowdStrike phát hiện có liên quan đến nhóm tin tặc AURORA PANDA.

Điều tra vụ việc về VFW cũng phát hiện ra các trang mạng khác (savmpet.com, gifas. assso.net, và icbcqsz.com) còn lưu trữ mã khai thác này. Những trang này không chỉ chia sẻ các địa chỉ IP tương tự nhau, mà còn lưu trữ nội dung tương tự được lấy từ các trang web thuộc một tổ chức trong ngành công nghiệp hàng không vũ trụ của Pháp, Groupement des Industries Françaises Aéronautiques et Spatiales (GIFAS). Thông tin về ngày tháng có thể nhìn thấy trên những trang web này, những thông tin tìm thấy trên mã nguồn của trang web cho thấy chúng được tạo ra vào ngày 17/01/2014, trước sự cố VFW gần một tháng. Tuy nhiên hoạt động này sử dụng các chiến thuật mục tiêu không giống như trong sự cố SWC bởi vì các trang lưu trữ mã này được kiểm soát bởi nhóm tin tặc và không xâm nhập vào các trang web hợp pháp.

Chiến dịch liên quan đến GIFAS đã phát tán một trình tải mã độc khác (Sakula) so với sự cố VFW. Trình tải Sakula liên lạc trong các cơ sở hạ tầng máy chủ điều khiển và kiểm soát chứ không phải ZxShell, oa.ameteksen.com. Điều này cho thấy, một nhóm tin tặc khác đứng sau chiến dịch SWC liên quan đến GIFAS. Điều tra kỹ hơn vào hoạt động này đã phát hiện một số điểm tương tự với chiến dịch SWC (CVe-2012-4792) vào năm 2012, trong đó nhằm vào trang web của một nhà sản xuất ở Mỹ, Capstone Turbine. Những điểm tương đồng phát hiện thấy đó là: cùng sử dụng mã độc Sakula, các tên miền phụ của GIFAS liên quan đến cả hai sự cố và cùng sử dụng các lỗ hổngzero – day. Vào cuối năm 2014, Đội Tình báo của CrowdStrike đã phát hiện ra những liên kết tiềm năng giữa nhóm tin tặc này và nhóm HURRICANE PANDA (thảo luận chitiết ở dưới); Tuy nhiên việc đánh giá những liên kết này hiện vẫn đang được tiếp tục tiến hành.

CVE-2014-4113 – Lỗ hổng leo thang đặc quyền

Bất cứ lúc nào, hiện tại hay sau này, một nhóm tin tặc sẽ để lộ con át chủ bài của họ khi họ bế tắc trong việc truy cập vào cơ sở hạ tầng của nạn nhân. Điều này xảy ra vào tháng 10/2014 khi nhóm tin tặc Trung Quốc bị theo dõi bởi CrowdStrike là HURRICANE PANDA đã triển khai một công cụ có tên là Win64.exe trên một hệ thống bị xâm nhập từng được sử dụng để kết nối các chương trình khác với đặc quyền cao hơn.

Công tác phân tích nhị phân công cụ Win64.exe cho thấy, nó khai thác một lỗ hổng chưa từng được biết đến trước đó để nâng cao đặc quyền đối với những người sử dụng hệ thống này và sau đó tạo ra một quy trình mới với các quyền truy cập để chạy lệnh đã được thông qua. Bản thân tập tin này có kích thước chỉ 55 KB và chỉ có một vài chức năng.

Đầu tiên việc khai thác được thực hiện bằng cách làm hư bộ nhớ trong trình quản lý cửa sổ Windows và sử dụng mức tăng thẩm quyền này để ghi đè lên một thẻ truy cập trong cấu trúc ePROCeSS ở chế độ người dùng với chế độ trong hệ thống. Với thẩm quyền này, mọi lệnh được thông qua để thực thi đều được thực hiện với thẩm quyền cao. Lỗ hổng này hiện chạy trên cả hệ điều hành Windows 32 bit và 64 bit, từ Windows XP đến Windows 7.

Mã lệnh thực hiện những bước này được viết cẩn thận và rất đáng tin cậy. Nhóm tin tặc này đã triển khai một nỗ lực đáng kể nhằm giảm thiểu việc phát hiện ra các hoạt động. Các công cụ khai thác chỉ được thực thi khi thực sự cần thiết trong các hoạt động xâm nhập và sẽ bị xóa ngay lập tức sau khi sử dụng.

Một dấu mốc thời gian đã được thiết lập trên Win64.exe là ngày 03/05/2014 cho thấy, lỗ hổng này đã được tích cực khai thác 5 tháng trước khi phát hiện. Hơn nữa, sau khi mô tả sự khai thác, các phiên bản được tìm thấy trước đó cho thấy việc phát triển liên tục các công cụ giúp leo thang đặc quyền. Trên thực tế, một số công cụ được tìm thấy với việc khai thác các lỗ hổng tương tự đã được xử lý bởi Microsoft trong các bản vá lỗ được phát hành vào đầu năm 2014. Những công cụ này sử dụng chung một cấu trúc tổng thể với một công cụ mới, điều này cho thấy một mã giống nhau đã được sử dụng để vũ khí hóa hoạt động khai thác giúp leo thang đặc quyền. Những quan sát này cũng cho thấy, HURRICANE PANDA duy trì một kho vũ khí các lỗ hổng leo thang đặc quyền chưa được vá.

Trường hợp này nhấn mạnh sự cần thiết phải giám sát chặt chẽ các thiết bị đầu cuối để có thể phát hiện các hành vi như vậy. Ngay khi phát hiện lỗ hổng, CrowdStrike đã báo cáo lỗ hổng và cung cấp một bằng chứng cụ thể cho Microsoft. Hãng công nghệ này sau đó đã phát hành bản tin bảo mật MS14-058 cũng như các bản vá lỗi cho tất cả các nền tảng bị ảnh hưởng.

CVE-2014-1761 – Lỗ hổng cho phép thực thi các mã khai thác từ xa

Năm 2014, Đội Tình báo của CrowdStrike đã dành phần lớn thời gian để điều tra các hoạt động khai thác lỗ hổng CVE-2014-1761. Hoạt động khai thác lỗ hổng này có thể nói là khá phức tạp, nhưng nếu thành công sẽ cho phép tội phạm mạng thực thi mã từ xa. Tội phạm mạng là những đối tượng đầu tiên khai thác lỗ hổng này; tuy nhiên các nhóm tin tặc xâm nhập nhắm mục tiêu ở Nga và Trung Quốc cũng là những đối tượng khai thác tích cực.

thuc thi1

Sự gia tăng khai thác lỗ hổng CVE-2014-1761 không phải là một hiện tượng chưa từng có, nhưng nó cho thấy các tin tặc cùng có cái nhìn chung. Trong trường hợp này tin tặc đầu tiên sẽ quan sát thông qua việc khai thác lỗ hổng trong tự nhiên. Một vài tuần sau đó những nhóm tin tặc xâm nhập nhắm mục tiêu bắt đầu tận dụng nó trong các hoạt động của mình. Giải thích hợp lý nhất cho việc này đó là các nhóm tin tặc có thể pháthiện và phát triển mã khai tác một khi nhà cung cấp phát hành các tư vấn.

Điều này là hoàn toàn có thể, vì Microsoft phát hành tư vấn ban đầu của hãng về việc khai thác này vào cuối tháng 03 và hoạt động nhắm mục tiêu bắt đầu từ đầu tháng 04. Tuy nhiên, cách thức phổ biến nhất đối với hoạt động khai thác đó là được thực hiện trực tiếp bởi các tội phạm mạng hoặc các tin tặc xâm nhập có mục tiêu. Các cá nhân tham gia vào các hoạt động khai thác có thể cũng đang thực hiện các hoạt động xâm nhập nhắm mục tiêu hoặc tiến hành khai thác cho cả hai mục đích.

Đội tình báo của CrowdStrike cũng phát hiện ra một chương trình biên dịch đơn giản, cho phép các tin tặc tự động xây dựng các tài liệu khai thác lỗ hổng CVE-2014-1761. Điều này cho phép một tài liệu mồi và tài liệu thực thi độc hại kết hợp với tài liệu độc hại chứa lỗ hổng CVE-2014-1761. Các ký tự Trung Quốc cho thấy, nó đã được sử dụng bởi các nhóm tin tặc Trung Quốc và cũng giải thích được tại sao những nhóm tin tặc ở Trung Quốc ngày càng gia tăng.

PITTY PANDA là một nhóm tin tặc đã tích cực phát triển khả năng sử dụng khai thác này. Nhóm này cho thấy mức độ tinh vi khác biệt đáng kể so với các nhóm khác. Một mặt, nhóm này đã được chứng minh là một trong những nhóm có thể vũ khí hóa thành công các tài liệu chứa mã độc khai thác lỗ hổng CVE-2014-1761. Nhưng mặt khác, nhóm tin tặc này lại thể hiện sự thiếu nhất quán và chuyên môn trong một số lĩnh vực khác. Ví dụ, việc tái sử dụng các tên miền đuôi .tw chắc chắn được thực hiện trong môi trường không liên quan đến Đài Loan. Điều này đã được quan sát thấy trong các cuộc tấn công nhằm vào các doanh nghiệp hàng không vũ trụ và quốc phòng của Phương Tây trong năm 2014.

thuc thi1

Phân tích gần đây của CrowdStrike về nhóm tin tặc PITTY PANDA đã cho thấy, nhóm tin tặc này đã và đang hoạt động trong khung thời gian dài hơn so với giả định trước đây. Các hoạt động có khả năng đã được thực hiện từ tháng 06/2005, điều này được kết luận khi phát hiện một cửa sổ hoạt động trong vòng 9 năm. PITTY PANDA đã sử dụng ít nhất 3 họ mã độc truy cập từ xa (RAT) khác nhau, một số trong đó đã liên tục được phát triển.

PITTY PANDA gần đây đã đã chuyển hướng mục tiêu sang lĩnh vực công nghiệp quốc phòng và hàng không vũ trụ. Mục tiêu tổng thể trong các hoạt động trong quá khứ của nhóm tin tặc này là nhằm thu thập các thông tin tình báo mang tính chất chính trị, những hoạt động gần đây lại liên quan đến các hành vi đánh cắp tài sản trí tuệ. Sự phát triển và và thích nghi với việc khai thác lỗ hổng CVE-2014-1761 chỉ ra rằng, nhóm tin tặc này đang nỗ lực mở rộng hoạt động hơn nữa bằng cách đầu tư vào các khả năng kỹ thuật để theo đuổi các mục tiêu khó hơn trước.

Các hoạt động tấn công mạng theo sự kiện ngòai đời thực

Các sự cố của hãng hàng không MALAYSIA: Hãng hàng không quốc gia Malaysia đã phải hứng chịu hai sự cố thảm khốc trong năm 2014. Vào tháng 03, chuyến bay mang số hiệu MH370 từ kuala Lumpur đến Bắc Kinh đã biến mất một cách bí ẩn chưa đầy một giờ sau khi cất cánh. Trong tháng 07, chuyến bay số hiệu MH17 từ Amsterdam đến Kuala Lumpur đã bị bắn rơi khi bay ngang qua khu vực chiến sự ở Ukraine. Những sự kiện này đã trở thành tâm điểm của báo giới, và những tranh cãi cũng như bí ẩn xung quanh hai sự cố đã trở thành những nội dung lý tưởng cho các nhóm tin tặc triển khai tấn công.

Ngay lập tức các email giả mạo chứa mã độc về sự cố MH370 đã nhanh chóng được phát tán. Nhóm tin tặc TEMPER PANDA đặc biệt phong phú trong việc sử dụng các tài liệu giả mạo thông tin về MH370 để phát tán các phần mềm độc hại có kết nối đến địa chỉ máy chủ điều khiển và kiểm soát của TEMPER PANDA tại địa chỉ www. verizon. proxydns.com. Các hoạt động từ nhóm tin tặc LOTUS PANDA và một tin tặc sử dụng mã độc Naikon cũng được phát hiện. Ngoài ra, CrowdStrike cũng phát hiện một số sự cố được thực hiện bởi một nhóm tin tặc có liên quan đến Pakistan. Cuộc tấn công này sử dụng một tập tin dạng .zip độc hại, chưa một tập tin có tên Malaysia Airline MH370 hijacked by Pakistan.scr (MH370 bị tấn công bởi Pakistan), chứa phần mềm độc hại BitterBug, sử dụng một máy chủ điều khiển và kiểm soát tại địa chỉ IP 199.91.173.45.

Các hoạt động tội phạm mạng liên quan đến sự cố MH17 dường như hạn chế hơn những cũng bắt đầu được triển khai trong những ngày đang xảy ra sự cố. Phát hiện một số hoạt động lừa đảo từ các nhóm tin tặc Trung Quốc vào ngày 22/07/2014, đã tận dụng một tài liệu mồi nhử liên quan đến hộp đen trên MH17, trong đó có chứa mã độc NetTraveler kết nối tới một máy chủ điều khiển và kiểm soát tại địa chỉ www. gobackto.net. Nhóm tin tặc Nga mà CrowdStrike đặt tên là FANCY BEAR cũng nhắm mục tiêu các nạn nhân bằng cách gửi đi một tài liệu lừa đảo có chứa mã độc Sofacy liên quan đến việc chấm dứt hoạt động chiến sự tại địa điểm xảy ra tai nạn máy bay.

Xung đột ở Ukraine 

Xung đột ở Ukraine là động cơ dẫn đến rất nhiều các hoạt động xâm nhập mục tiêu và các hoạt động mạng độc hại. Cuộc xung đột đã được tận dụng để nhắm mục tiêu vào các cơ quan ở Nga, Ukraine và các quốc gia khác hưởng lợi ích trong khu vực.

Các nhóm tin tặc Trung Quốc hoạt động tích cực xung quanh xung đột này, mặc dù đã có một số lượng đáng kể các hoạt động độc hại từ tin tặc Trung Quốc liên quan đến sự cố máy bay MH17. Trong khi các chiến dịch độc hại khác liên quan đến những sự kiện này nhắm mục tiêu vào các cơ quan tổ chức ở Ukraine, thì hầu hết các hoạt động của những nhóm tin tặc Trung Quốc lại nhắm mục tiêu vào các tổ chức ở Nga. Nhiều sự cố được xác định tận dụng mồi nhử bằng tiếng Nga với nội dung liên quan đến tình hình an ninh ở Ukraine, như một mồi nhử dưới đây, được phát hiện trong một sự cố sử dụng mã độc PlugX để gọi đến các địa chỉ chromeupdate.authorizeddns.org và googlesupport.proxydns.com vào tháng 10/2014.

thuc thi1

Một trong những lý do chính dẫn đến sự gia tăng nhắm mục tiêu vào Nga bởi các nhóm tin tặc Trung Quốc là do mốt quan hệ giữa Trung Quốc và Nga gần đây đã được phát triển mạnh mẽ. Vào tháng 05/2014, hai nước đã nhất trí thỏa thuận 400 tỷ USD cho Nga để cung cấp khí ga cho Trung Quốc. Ngoài ra, họ cũng đạt được thỏa thuận về việcxây dựng một cầu nối giữa hai quốc gia và sử dụng một cảng ở miền Đông nước Nga; Hai nước cũng tiết lộ kế hoạch thiết lập các trạm GPS mặt đất tại hai nước. Sự tương tác này giữa hai nước ngày càng kiến Nga trở thành mục tiêu đáng quan tâm trong các hoạt động xâm nhập có mục tiêu của Trung Quốc.

Ngoài hoạt động của các nhóm tin tặc Trung Quốc nêu trên, đội Tình báo của CrowdStrike còn xác định được một loạt các hoạt động nhắm mục tiêu vào các cơ quan tổ chức bên trong nước Nga. Nhóm tin tặc thực hiện hoạt động này đã sử dụng một thành phần khá phức tạp của mã độc sử dụng DLL đa hình và các tên tập tin được tùy chỉnh. Mã độc này đã được thả xuống cùng với một loạt các tài liệu độc hại chứa mã khai thác cho các lỗ hổng CVE-2012-0158 và CVE-2014-1761. Các tài liệu mồi nhử độc hại được viết bằng cả hai thứ tiếng Nga và Anh, nội dung liên quan đến Nga như: xung đột Ukraine, một quảng cáo bán xe từ Đại sứ quán Đức ở Moscow và một thư mời đến tham dự hội nghị tại một trường đại học Nga về công nghệ vũ trụ.

Nhằm mục tiêu khu vực Đông Nam Á

Chính phủ các nước và các tổ chức kinh doanh trong khu vực Đông Nam Á trong nhiều năm đã trở thành mục tiêu phổ biến trong các hoạt động xâm nhập mạng có mục tiêu của Trung Quốc. Trung Quốc thường rất quan tâm đến khu vực Đông Nam Á một phần vì khoảng cách gần và một phần vì mong muốn giám sát các hoạt động trong khu vực để có thể chiếm được lợi thế chiến lược. Tuy nhiên, trong suốt năm 2014, Trung Quốc đặc biệt có nhiều động cơ để tiến hành các hoạt động xâm nhập mạng vào các các quốc gia Đông Nam Á bởi những căng thẳng giữa Trung Quốc và các quốc gia trong khu vực này, chủ yếu là với Việt Nam và Philippines, do những căng thẳng trong tranh chấp lãnh thổ ở Biển Đông.

Biển Đông từ lâu đã là nguồn cơn gây ra những căng thẳng giữa Trung Quốc và các quốc gia Đông Nam Á khác. Liên Hiệp Quốc đã cố gắng giảm bớt những căng thẳng trong công ước 1982 về Luật Biển mà trao quyền cho các quốc gia trong khu vực bảo vệ các nguồn tài nguyên biển và năng lượng trong phạm vi nhất định từ bờ biển của họ. Điều này có nghĩa là cho phép tất cả các nước trong khu vực tuyên bố chủ quyền về các tuyến đường thương mại quan trọng và các nguồn năng lượng dồi dào được cho là tồn tại ở khu vực đó. Trung Quốc tranh chấp các quyền được đưa ra bởi Liên Hiệp Quốc và tuyên bố chủ quyền gần như toàn bộ Biển Đông.

Căng thẳng thực sự nổi lên vào tháng 05/2014 khi công ty năng lượng nhà nước Trung Quốc hạ đặt giàn khoan dầu HD 981 trái phép trong lãnh hải của Việt Nam. Giàn khoan này đã được hạ đặt gần Quần đảo Trường sa, nơi được tuyên bố chủ quyền của cả Trung Quốc và Việt Nam. Sự hiện diện của giàn khoan đã liên tục dẫn đến các cuộc xung đột giữa các tàu cá Trung Quốc và Việt Nam, các cuộc biểu tình bạo lực tại các doanh nghiệp Trung Quốc ở Việt Nam, và tình hình căng thẳng giữa Trung Quốc và các quốc gia trong khu vực như với Phillippines ngày càng tăng cao.

thuc thi1

Vào đúng thời điểm tháng 05/2014 thì các hoạt động xâm nhập mạng nhắm mục tiêu của Trung Quốc nhằm vào các cơ quan tổ chức trong khu vực Đông Nam Á cũng tăng lên đáng kể. Điều này có thể là mối quan tâm của Trung Quốc trong việc theo dõi phản ứng của các chính phủ và tổ chức trong khu vực. Một loạt các nhóm tin tặc như GOBLIN PANDA, VIXEN PANDA, LOTUS PANDA, PREDATOR PANDA và PIRATE PANDA và các biến thể mã độc (PlugX, Poison Ivy, Mirage, enfal và Naikon) đã được sử dụng trong các hoạt động tấn công này.

thuc thi1

Đội Tình báo của CrowdStrike đã phát hiện ra GOBLIN PANDA và VIXEN PANDA là hai nhóm tin tặc tích cực nhắm mục tiêu vào các quốc gia Đông Nam Á nhất. Hoạt động của GOBLIN PANDA nhắm mục tiêu rất nhiều đến các tổ chức, cơ quan ở Việt Nam. Nhóm tin tặc này sử dụng nhiều biến thể mã độc trong suốt thời gian này, nhưng lâu dần nhóm gần như hoàn toàn chuyển qua sử dụng mã độc PlugX.

Dựa vào các tài liệu mồi nhử được sử dụng trong các sự cố, dường như các tổ chức thuộc chính phủ Việt Nam là mục tiêu chính (mặc dù cũng phát hiện thấy việc nhắm mục tiêu vào các doanh nghiệp nước ngoài thuộc khu vực tư nhân), bởi vì mồi nhử thường là các tài liệu của Chính phủ Việt Nam. Ảnh chụp màn hình dưới đây là một ví dụ về một trong những mồi nhử liên quan đến Cục Bảo vệ nguồn lợi Thủy sản của Việt Nam. Một tài liệu về giàn khoan dầu HD 981 có thể được nhìn thấy trong dòng đầu tiên. Tên miền máy chủ điều khiển và kiểm soát mã độc được sử dụng kết hợp với tài liệu này là dns.dubkill.com.

thuc thi1Trong hoạt động nhắm mục tiêu vào các khu vực xung quanh sự kiện này, hoạt động của VIXEN PANDA được quan sát thấy tập trung chủ yếu vào Philippines, đặc biệt là trong khu vực quốc phòng. Hình dưới đây là một tài liệu mồi nhử từ một sự cố mạng được xác định vào tháng 04/2014. Nội dung duy nhất là tiêu đề được đánh dấu “Mật” với phần đầu thư là Trung tâm Tác chiến Hải quân Philippines. Mã độc được sử dụng trong cuộc tấn công này là Mirage, được cài đặt bằng cách sử dụng công cụ tải DLL, lợi dụng lệnh tìm kiếm mà hệ điều hành đi qua để tải các DLL. Mẫu mã độc cụ thể này sử dụng các tập tin liên quan đến NVIDIA thường thấy ở mã độc PlugX để tải gói tin Mirage. Máy chủ C2 cho mã độc trong vụ tấn công này là todaynews.dns-dns.com.

Hoạt động tại khu vực Đông Nam Á đã giảm đáng kể vào tháng 08/2014, trùng với thời điểm Trung Quốc di dời giàn khoan HD-981 khỏi vùng biển Việt Nam. Một chiến dịch nhỏ xuất hiện vào tháng 10/2014 khi PIRATE PANDA và VIXEN PANDA nhắm mục tiêu vào Việt Nam và Philippines một lần nữa, có lẽ là do hoạt động mua vũ khí để tăng cường khả năng an ninh hàng hải của Việt Nam. Kể từ đó, các hoạt động lẻ tẻ với trọng tâm là khu vực Đông Nam Á vẫn được quan sát thấy nhưng không ở mức mạnh mẽ như đã được quan sát trong khoảng thời gian từ tháng 05 – 10/2014.

thuc thi1

Rất có thể căng thẳng sẽ tăng lên trở lại do các tranh chấp lãnh thổ và tài nguyên trên Biển Đông vẫn chưa được giải quyết.

DEEP PANDA – Chuyên nhắm mục tiêu vào các viện chính sách

Vào tháng 07/2014, CrowdStrike đã phát hành một báo cáo về hoạt động độc hại liên quan đến nhóm tin tặc DEEP PANDA tại 2 viện chính sách tại Mỹ 11 . Hoạt động này tuân theo thủ thuật, kỹ thuật và quy trình (TTP) điển hình của DEEP PANDA với một kỹ thuật mới, sử dụng PowerShell để tải mã độc MadHatter về máy của nạn nhân. Mặc dù các TTP là điển hình, việc nhắm mục tiêu cụ thể vào từng tổ chức cho thấy cách thức nhóm tin tặc này được giao nhiệm vụ trong các hoạt động của chúng.

Kết quả phân tích một vụ tấn công cho thấy, cho đến giữa tháng 06/2014, nhóm tin tặc này đã tập trung vào các chuyên gia về chính sách tại Châu Á và Trung Quốc tại mỗi tổ chức bị ảnh hưởng. Việc nhắm mục tiêu này phù hợp với các mục tiêu của hoạt động thu thập thông tin tình báo của Trung Quốc trong suốt khoảng thời gian này để hỗ trợ cho hoạt động thu thập thông tình báo toàn cầu xung quanh sự kiện giàn khoan HD-981. Trong suốt khoảng thời gian giữa tháng 06/2014, DEEP PANDA rõ ràng đã chuyển sự tập trung vào các vấn đề liên quan đến Châu Á sang các vấn đề liên quan đến Trung Đông. Sự thay đổi này trùng với thời điểm gia tăng đáng kể các cuộc tấn công từ Tổ chức Nhà nước Hồi giáo (ISIS), đặc biệt là cuộc tấn công vào nhà máy lọc dầu Baiji tại Iraq.

Tại một tổ chức, tin tặc đã tập trung vào một mục tiêu có chuyên môn về việc tiêu thụ 11.http://blog.crowdstrike.com/deep-thought-chinese-targeting-na-tional-security-think-tanks/ tài nguyên thiên nhiên và nhu cầu tìm nguồn năng lượng cung ứng của Trung Quốc. Các mục tiêu khác tại tổ chức này bao gồm một trợ lý giám đốc, các kỹ sư mạng và các quản trị viên. Việc nhắm mục tiêu vào trợ lý giám đốc dường như là để đoạt quyền truy cập vào các thông tin tác chiến và chiến lược cấp cao trong khi việc nhắm mục tiêu vào các quản trị viên là để có được các thông tin hữu ích cho việc di chuyển và duy trì lâu dài trong hệ thống mạng.

Tại tổ chức thứ hai, các mục tiêu đều có công việc nhất định trong chính phủ và cộng đồng tình báo Mỹ, đã từng viết về chính sách của Mỹ tại Trung Đông và đã tham gia điều trần trước Quốc hội về các vấn đề ISIS. Các mục tiêu trong trường hợp này có thể cung cấp thông tin về chiến lược tiềm năng của Mỹ và thậm chí là các thông tin liên lạc giữa cơ quan này và các cơ quan Chính phủ Mỹ.

Việc nhanh chóng chuyển từ nhắm mục tiêu vào những cá nhân tại các cơ quan tập trung vào các vấn đề Châu Á sang các cá nhân tập trung vào vấn đề Trung Đông cho thấy mức độ nhanh chóng mà các tin tặc này có thể phản ứng với nhiệm vụ mới. Việc nhắm mục tiêu trong các trường hợp này dường như phù hợp với lợi ích của các tổ chức chính phủ, những cơ quan luôn mong muốn có được thông tin về các lựa chọn chiến lược mà Mỹ có thể sẽ cân nhắc đối với ISIS. Thông tin từ các tổ chức này cũng có thể hữu ích đối với các doanh nghiệp đang hoạt động tại Trung Đông.

thuc thi1

WORLD CUP

Sự kiện lớn nhất trên toàn cầu trong năm 2014, về mức độ thu hút sự chú ý và xuất hiện trên truyền thông, chính là FIFA World Cup diễn ra tại Brazil từ 12/06 – 13/07/2014. Các sự kiện lớn như thế này thường thu hút nhiều tin tặc, lợi dụng các sự kiện này để lừa các mục tiêu nhằm đánh cắp thông tin đăng nhập, tấn công hệ thống mạng vì mục đích gián điệp và các mục đích khác.

Trước khi World Cup diễn ra, CrowdStrike đã phát hành báo cáo, trình bày những mối đe dọa tiềm ẩn đối với sự kiện này. Nổi bật trong số đó là việc các tin tặc có động cơ chính trị tấn công hoặc thay đổi giao diện các trang web liên quan đến giải đấu. Nhóm tin tặc GHOST JACKAL đã bị phát hiện tham gia các hoạt động này trước khi bắt đầu mùa giải, trùng với thời điểm diễn ra các cuộc biểu tình trên đường phố nhằm phản đối chính phủ.

Sau đó, trong thời gian diễn ra giải đấu, các cảnh báo của CrowdStrike đã trở thành sự thật khi các trang web cho giải đấu này và trang web của Cảnh sát Liên bang Brazil đều bị đánh sập 12 . Bên cạnh đó, CrowdStrike còn quan sát thấy một số hoạt động xâm nhập giới hạn liên quan đến World Cup từ các nhóm tin tặc Trung Quốc như LOTUS PANDA và VIXEN PANDA, nhưng mức độ của các hoạt động này không cao như dự đoán.

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 8)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 8)

Sự xuất hiện của một số lỗ hổng chưa từng được biết đến trước đó (lỗ hổng zero day) thường là một sự xuất hiện bất thường. Những sự kiện này khi mới đầu phát...

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 7)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 7)

Những tin tặc tấn công vì động cơ chính trị là loại tội phạm thứ 3 mà đội Tình báo của CrowdStrike theo dõi. Mục đích của những tin tặc này có thể đơn giản là chọc cười hay...

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net