Phát hiện gián điệp mạng 7 năm hoạt động

Công ty bảo mật Kaspersky Lab vừa phát hiện ra một hoạt động gián điệp mạng rất tinh vi được thực hiện bởi một nhóm tin tặc đa quốc gia. Nhóm này đã phát tán mã độc đến hơn 380 mục tiêu cao cấp ở 31 nước. Trong trường hợp này, Trung Quốc có thể không phải là nghi can số 1 bị nghi ngờ đằng sau các cuộc tấn công.

Phát hiện gián điệp mạng 7 năm hoạt động và kịp thời biến mất chỉ sau vài giờ

Các tin tặc dường như là dân nói tiếng Tây Ban Nha, là loại ngôn ngữ được dùng khi có hoạt động hợp tác giữa các hacker Nga – Trung làm việc dưới trướng chính phủ. Vụ tấn công mang tên The Mask (Mặt Nạ) có thể chưa phải là diễn biến gián điệp tinh vi nhất vì khả năng có những đợt tấn công khác sau đó nữa. Đó là nhận định của các nhà nghiên cứu bảo mật từ Kaspersky Lab, cũng là những người phát hiện ra The Mask.

Theo Kaspersky Lab, các tin tặc phía sau The Mask có các hoạt động thậm chí còn công phá mạnh hơn cả những tin tặc của vụ Flame – một chiến dịch phần mềm độc hại phức tạp chống lại tổ chức Máy Tính Iran được phát hiện vào năm 2012.

Theo Threatpost, ông Costin Raiu - một trong những nghiên cứu viên của báo cáo về The Mask cho biết tại Hội Nghị Nghiên Cứu Kaspersky Security như sau: “Tốc độ và tính chuyên nghiệp của The Mask vượt xa vụ Flame và những gì mà chúng ta có thể hình dung được. The Mask là một trong những mối đe dọa mạng tiên tiến nhất vào thời điểm này”.

Sở dĩ các nhà nghiên cứu Kaspersky Lab nhận định nhóm tin tặc có nguồn gốc từ Tây Ban Nha bởi vì các ngôn ngữ này được tìm thấy trong các mã độc, ví dụ như Careto (có nghĩa là “mặt nạ” trong tiếng Tây Ban Nha – cũng là tên hoạt động tấn công). Họ cũng phát hiện các thuật ngữ dưới dạng tiếng lóng như Caguen1aMar – chữ viết tắt của  "me cago en la mar", những chữ kết hợp từ câu mang nghĩa khá thô tục được hiểu là tiếng chửi thề. Tuy nhiên, đây cũng có thể là những manh mối giả mà tin tặc cố tình để lại cho những điều tra viên, báo cáo viên, nghiên cứu viên nhằm đánh lạc hướng. Ông Cesar Cerrudo, giám đốc công nghệ hãng bảo mật IOactive trả lời phỏng vấn của Mashable.

Một manh mối khác càng làm rõ hơn về nguồn gốc của nhóm tin tặc này thuộc Tây Ban Nha hoặc các nước nói tiếng Tây Ban Nha. Đó là để cài đặt các phần mềm độc hại trên các máy tính mục tiêu, các tin tặc sử dụng phương thức gửi email lừa đảo chứa các đường dẫn độc hại chuyển hướng đến các trang web tin tức là các nhật báo tiếng Tây Ban Nha như El Mundo và El Pais. Tuy nhiên, nó cũng trỏ hướng đến trang Guardian, The Washington Post và Time.

Các tin tặc nhắm mục tiêu đến các cơ quan chính phủ, đại sứ quán, các công ty năng lượng và các tổ chức nghiên cứu – những nạn nhân chung từ hoạt động tài trợ quốc gia.

Có thể nói mã độc trong The Mask còn tinh vi hơn cả những loại mã độc khét tiếng của các vụ tấn công từng được phát hiện như Red October (Tháng Mười Đỏ), MinDuke và NetTraveler (Kẻ du hành mạng).

Một khi người dùng mục tiêu bị tấn công nhấp vào các đường dẫn độc và ghé thăm một trang web được tạo ra bởi các tin tặc, các phần mềm độc hại sẽ theo dõi hoạt động duyệt web của nạn nhân, ghi lại tổ hợp phí, tự chặn các cuộc hội thoại Skype, ăn cắp các tập tin và thậm chí mã hóa khóa phím. Các phím này có thể được dùng để giải mã email đã được người dùng bảo mật bằng mã hóa trước đó chẳng hạn. Các phần mềm độc hại cũng được thiết kế để ăn cắp các tập tin với phần mở rộng đáng ngờ hiếm gặp đã được tùy chỉnh có thể mã hóa tập tin của tổ chức quân sự hoặc chính phủ.

Mã độc hoạt động không chỉ trên máy tính Windows, mà còn trên các máy chạy hệ điều hành MacOS, Linux. Có nghi vấn cho rằng nó còn có thể lây nhiễm sang iPhone và các điện thoại Android. Tuy nhiên chưa có dẫn chứng rõ cho nghi vấn này.

Thêm nữa, tin tặc cũng đã sử dụng một khai thác trong Adobe Flash Playe, được tìm thấy lần đầu bởi Vupen – 1 công ty Pháp được phép bán các lỗ hổng và công cụ hack hợp pháp cho chính phủ và các cơ quan thực thi pháp luật. Tuy nhiên, CEO Vupen là Chaouki Bekrar cho biết đã ngừng phát triển mã độc này và nó không liên quan gì đến họ.

Các nhà nghiên cứu đã tìm thấy bằng chứng cho thấy các hoạt động tấn công của The Mask bắt đầu trong năm 2007. Tuy nhiên, tất cả cơ sở hạ tầng hỗ trợ nó đã tự đóng cửa cuối tuần trước, chỉ bốn giờ sau khi Kaspersky Lab đăng một bài blog ngắn với rất ít thông tin về The Mask.

Jaime Blasco , giám đốc công ty an ninh AlienVault Labs nhận định đây là một " phản ứng nhanh chóng đáng kinh ngạc".

XD - Theo Mashble