DarkHotel - gián điệp mạng trong những khách sạn cao cấp Châu Á

Hoạt động gián điệp mạng là một vũ khí được lựa chọn khá nhiều trong thế kỉ 21. Ngay cả một ứng dụng điện thoại tưởng chừng vô hại lại có thể tiết lộ khá nhiều bí mật của người sử dụng chúng. Điều này cực kì nguy hiểm cho những người đại diện cho doanh nghiệp lớn hoặc người làm trong cơ quan chính phủ.

Kaspersky Lab đã phát hiện một chiến dịch gián điệp lớn nhất trong mùa thu này mệnh danh là DarkHotel, vốn đã tồn tại và hoạt động mạnh trong bảy năm qua tại các khách sạn cao cấp Châu Á. Các điệp viên thông minh và chuyên nghiệp đã “nằm vùng” lâu dài với các bộ công cụ và các phương pháp toàn diện nhằm đột nhập vào máy tính của nạn nhân.

Những lưu ý đầu tiên của FBI là về các cuộc tấn công vào du khách lưu trú ở các khách sạn được nghi vấn trong năm 2012. Tuy nhiên, các phần mềm độc hại được dùng trong chiến dịch DarkHotel (còn được gọi là Tapaoux) đã xuất hiện sớm từ 2007. Sau khi nghiên cứu các bản ghi lại từ máy chủ C&C từng quản lý chiến dịch này, các nhà nghiên cứu bảo mật đã phát hiện các kết nối được hẹn sẽ quay lại vào tháng 1/2009. Những chứng cứ cho thấy chiến dịch gián điệp này đã hoạt động từ khá sớm.

Cách thức hoạt động là xâm nhập vào thiết bị của nạn nhân thông qua kết nối WiFi tại các khách sạn cao cấp châu Á. Tội phạm mạng khai thác vào lỗi bảo mật Zero-Day trong Adobe Flash và các sản phẩm phổ biến của các nhà cung cấp nổi tiếng. Những lỗ hổng bảo mật này không dễ dàng tìm thấy nếu không có những nhà tài trợ giàu có, đủ khả năng đứng đằng sau hỗ trợ cho chiến dịch gián điệp.

Phương pháp trên nhằm cài phần mềm gián điệp vào máy nạn nhân là cách thường được sử dụng nhưng không phải chỉ dành cho những tên tội phạm mạng xử lý các hoạt động, đó có thể là những người làm việc cho khách sạn. Những yếu tố này có thể luân phiên liên quan đến loại trojan nào được phân phối cho khách hàng nào, vì những phần bị xâm nhập lưu trữ tùy thuộc theo xếp loại nạn nhân ở Trung Quốc.

Ngoài ra, gián điệp mạng cũng được dùng nhắm vào mục tiêu lừa đảo, gửi email nhiễm bệnh cho nhân viên của các tổ chức nhà nước hay tổ chức phi lợi nhuận.

Bên cạnh việc lợi dụng các lỗ hổng Zero-Day, tội phạm mạng ngày càng tinh vi trong công nghệ khi sử dụng các chứng chỉ an toàn số cho các phần mềm độc hại mà chúng tạo ra. Để theo dõi các thiết bị truyền thông của nạn nhân, bọn tội phạm mạng sử dụng phương thức keylogger rất tinh vi. Sau đó tích hợp các mô-đun nhằm cướp mật khẩu đã lưu trong các trình duyệt phổ biến. Chưa kể, tội phạm còn cực kì thận trọng và thiết kế các giải pháp nhằm ngăn chặn sự phát hiện mã độc.

- Một là đảm bảo các mã độc có một thời gian ủ bệnh đủ lâu: lần đầu trojan kết nối với máy chủ C&C là 180 ngày sau khi xâm nhập vào hệ thống.

- Hai là mã độc có một giao thức tự hủy nếu ngôn ngữ của hệ thống chuyển hướng đến Hàn Quốc.

Tội phạm mạng đứng sau DarkHotel chủ yếu hoạt động ở Nhật cũng như các nước láng giềng là Đài Loan và Trung Quốc. Tuy nhiên, Kaspersky Lab đã khoanh vùng các nơi mà tấn công có thể xuất hiện ở các nước khác, bao gồm cả những người không thuộc khu vực tấn công chính của chiến dịch.

Một tin tốt là các sản phẩm bảo mật từ Kaspersky Lab hoàn toàn có khả năng phát hiện và vô hiệu hóa các chương trình độc hại cũng như là các biến thể dùng bộ công cụ DarkHotel của tội phạm mạng.

Bạn có thể xem thêm thông tin từ video clip bên dưới:

Xuân Dung

(*) Vui lòng trích dẫn nguồn Kasperksy Care khi sao chép bài viết này.