Monthly Archives: February 2016

Nhóm đằng sau vụ hack Sony nguy hiểm hơn mọi người nghĩ.

Các nhà nghiên cứu đã tiết lộ thông tin về một nhóm hack có tổ chức nguy hiểm nhất thế giới.

 

Chỉ khi cả 4 hãng an ninh mạng kết hợp, các nhà phân tích mới nhận ra năng lực, độ lây lan và sức mạnh thực sự của nhóm đã hack Sony.

Những chuyên gia từ AlienVault, Kaspersky, Novetta và Symanec sau khi làm việc cùng với nhau và được hỗ trợ bởi 10 công ty khác, đã tìm hiểu được về nhóm Lazarus Group đã hack thành công Sony bảy năm trước.

Xuất hiện lần đầu vào năm 2009, nhóm đã hoạt động cực kì mạnh nhắm vào các công ty từ Mĩ, Mexico, Brazil, Nga, Iran, Việt Nam, Đài Loan, Trung Quốc, Bangladesh, Indonesia, Malaysia,… nhưng trên hết là Hàn Quốc.

Lazarus Group đã sử dụng 45 loại malware khác nhau

Trong những cuộc tấn công đã xảy ra, các hãng bảo mật đã thu thập được một lượng lớn các loại malware, từ RAT (remote access Trojan) để xóa trắng dữ liệu cho đến keyloggers hoặc thực hiện DDoS.

Trong quá khứ, các hãng bảo mật đã tạo ra những công cụ để nhằm một mục đích chống lại một số loại malware nhất định cho một số chiến dịch cụ thể (ví dụ như  Dark SeoulOperation Troy ),gần đây họ đã phát hiện ra một loại mới là dropper.

Dropper là một malware vô hại. Sau khi được đưa vào trong máy tính của nạn nhân, nó bắt đầu download các malware khác nguy hiểm hơn vào máy.

Loại dropper mà Lazarus Group sử dụng có tác dụng như trên, cho phép các nhà nghiên cứu tìm ra nguồn gốc của một nhóm có chiến dịch tấn công tên là Operation Blockbuster.

Dropper được tải từ máy chủ C&C trong một file nén được mã hóa bởi mật khẩu có tính bảo mật cao là  “!1234567890 dghtdhtrhgfjnui$%^^&fdt”.

Một lỗi nhỏ đã che dấu hoạt động của nhóm

Các nhà nghiên cứu đã xác định được một số cuộc tấn công mà nhóm đã thực hiện nhưng lại cho rằng những cuộc tấn công đó là do nhóm hack khác thực hiện.

Bao gồm cả việc DDoS lên những websites của Mĩ và Hàn Quốc vào 2009, tấn công vào truyền thông Hàn Quốc, viện tài chính, một số cơ sở hạ tầng trong năm 2011 và phương tiện truyền thông của đảng bảo thủ của Hàn Quốc vào năm 2012.

Thêm nữa, các nhà nghiên cứu phát hiện ra các cuộc tấn công vào các đài phát thanh, các ngân hàng vào năm 2013, hack hãng Sony Pictures vào năm 2014, tấn công chính phủ Hàn Quộc dựa vào lỗi zero-day của bộ xử lí Hangul Word vào năm 2015.

Các nhà nghiên cứu chưa chắc về việc nhóm tấn công có liên quan tới Bắc Triều Tiên hay không, nhưng nhóm hack đã canh giờ để tấn công những ai mà có hành động ủng hộ Bình Nhưỡng.

Ngoài những manh mối dựa trên lí thuyết, các nhà nghiên cứu từ Kaspersky đã phát hiện ra đa số malware của nhóm hoạt động theo giờ hành chính theo múi giờ của Bắc Triều Tiên và 60% ngôn ngữ cài đặt malware dùng tiếng Hàn Quốc.

Có hơn 5 báo cáo có trên trang Operation Blockbuster, liên quan tới nhóm sử dụng công cụ hack, RAT, loader và đa dạng các loại malware khác trong chiến dịch tấn công.

Theo TVTH1088

Advertisements