Video: VÌ CON - PHÚ LÊ | OFFICIAL MV 4K (Tháng Chín 2024)
Các nhà nghiên cứu của Kaspersky Lab đã phát hiện ra một hoạt động gián điệp mạng chống lại các tổ chức chính phủ, năng lượng, dầu mỏ và khí đốt trên khắp thế giới bằng cách sử dụng một loạt các công cụ tinh vi nhất được thấy cho đến nay. Công ty nói rằng hoạt động có tất cả các dấu hiệu của một cuộc tấn công quốc gia.
Costin Raiu, giám đốc nhóm nghiên cứu và phân tích toàn cầu tại Kaspersky Lab, và nhóm của ông đã tiết lộ các chi tiết đằng sau "Mặt nạ" tại Hội nghị thượng đỉnh phân tích bảo mật của Kaspersky Lab vào thứ hai, mô tả cách hoạt động sử dụng rootkit, bootkit và phần mềm độc hại được thiết kế cho Windows, Mac OS X và Linux. Thậm chí có thể có phiên bản Android và iOS của phần mềm độc hại được sử dụng, nhóm nghiên cứu cho biết. Theo tất cả các chỉ số, The Mask là một chiến dịch quốc gia ưu tú và cấu trúc của nó thậm chí còn tinh vi hơn cả chiến dịch Flame liên quan đến Stuxnet.
"Đây là một trong những điều tốt nhất tôi từng thấy. Trước đây, nhóm APT tốt nhất là nhóm đứng sau Flame, nhưng bây giờ điều đó thay đổi quan điểm của tôi vì cách quản lý cơ sở hạ tầng và cách họ phản ứng với các mối đe dọa và tốc độ phản ứng và tính chuyên nghiệp, "Raiu nói. Mặt nạ đi "ngoài ngọn lửa và bất cứ điều gì chúng ta đã thấy cho đến nay."
Hoạt động đã không bị phát hiện trong khoảng năm năm và ảnh hưởng đến 380 nạn nhân trong số hơn 1.000 địa chỉ IP được nhắm mục tiêu thuộc về các tổ chức chính phủ, cơ quan ngoại giao và đại sứ quán, viện nghiên cứu và các nhà hoạt động. Danh sách các quốc gia bị ảnh hưởng còn dài, bao gồm Algeria, Argentina, Bỉ, Bolivia, Brazil, Trung Quốc, Colombia, Costa Rica, Cuba, Ai Cập, Pháp, Đức, Gibraltar, Guatemala, Iran, Iraq, Libya, Malaysia, Mexico, Morocco, Na Uy, Pakistan, Ba Lan, Nam Phi, Tây Ban Nha, Thụy Sĩ, Tunisia, Thổ Nhĩ Kỳ, Vương quốc Anh, Hoa Kỳ và Venezuela.
Giải nén mặt nạ
Mặt nạ, cũng được đặt tên là Careto, đánh cắp tài liệu và khóa mã hóa, thông tin cấu hình cho Mạng riêng ảo (VPN), khóa cho Secure Shell (SSH) và các tệp cho Remote Desktop Client. Nó cũng xóa dấu vết của các hoạt động của nó từ nhật ký. Kaspersky Lab cho biết phần mềm độc hại này có kiến trúc mô đun và hỗ trợ các tệp cấu hình và trình cắm. Nó cũng có thể được cập nhật với các mô-đun mới. Phần mềm độc hại cũng đã cố gắng khai thác phiên bản cũ hơn của phần mềm bảo mật của Kaspersky.
"Đó là cố gắng lạm dụng một trong những thành phần của chúng tôi để che giấu, " Raiu nói.
Cuộc tấn công bắt đầu bằng các email lừa đảo với các liên kết đến một URL độc hại lưu trữ nhiều khai thác trước khi cuối cùng đưa người dùng đến trang web hợp pháp được tham chiếu trong nội dung thư. Tại thời điểm này, những kẻ tấn công có quyền kiểm soát thông tin liên lạc của máy bị nhiễm bệnh.
Những kẻ tấn công đã sử dụng một khai thác nhắm vào lỗ hổng trong Adobe Flash Player, cho phép kẻ tấn công sau đó bỏ qua hộp cát trong Google Chrome. Lỗ hổng này lần đầu tiên được khai thác thành công trong cuộc thi Pwn2Own tại CanSecWest trở lại vào năm 2012 bởi nhà môi giới lỗ hổng VUPEN của Pháp. VUPEN từ chối tiết lộ chi tiết về cách thức thực hiện cuộc tấn công, nói rằng họ muốn lưu nó cho khách hàng của họ. Raiu đã không nói thẳng rằng khai thác được sử dụng trong Mặt nạ giống như của VUPEN, nhưng xác nhận rằng đó là lỗ hổng tương tự. "Có lẽ ai đó tự khai thác, " Raiu nói.
VUPEN đã lên Twitter để từ chối khai thác đã được sử dụng trong hoạt động này, nói rằng: "Tuyên bố chính thức của chúng tôi về #Mask: khai thác không phải là của chúng tôi, có lẽ nó đã được tìm thấy bằng cách phát tán bản vá do Adobe phát hành sau # Pwn2Own." Nói cách khác, những kẻ tấn công đã so sánh Flash Player đã vá với phiên bản chưa được vá, loại bỏ sự khác biệt và suy ra bản chất của việc khai thác.
Mặt nạ bây giờ ở đâu?
Khi Kaspersky đăng một lời trêu ghẹo The Mask trên blog của mình vào tuần trước, những kẻ tấn công bắt đầu ngừng hoạt động, Raiu nói. Việc những kẻ tấn công đã có thể đóng cửa cơ sở hạ tầng của họ trong vòng bốn giờ sau khi Kaspersky công bố lời trêu ghẹo cho thấy những kẻ tấn công thực sự chuyên nghiệp, Jaime Blasco, giám đốc nghiên cứu của AlienVault Labs cho biết.
Trong khi Kaspersky Lab đã tắt các máy chủ chỉ huy và kiểm soát mà nó tìm thấy liên quan đến hoạt động và Apple đã tắt các miền liên quan đến phiên bản khai thác Mac, Raiu tin rằng chúng chỉ là một "ảnh chụp nhanh" về cơ sở hạ tầng tổng thể. "Tôi nghi ngờ chúng ta đang nhìn thấy một cửa sổ rất hẹp vào hoạt động của họ, " Raiu nói.
Mặc dù có thể dễ dàng cho rằng vì có những bình luận trong mật mã bằng tiếng Tây Ban Nha rằng những kẻ tấn công đến từ một quốc gia nói tiếng Tây Ban Nha, Raiu chỉ ra rằng những kẻ tấn công có thể dễ dàng sử dụng một ngôn ngữ khác như một lá cờ đỏ để ném các nhà điều tra đi lạc hướng. Mặt nạ ở đâu bây giờ? Chúng tôi chỉ không biết.
