Một kỹ thuật gián điệp đầy tinh vi của Trung Quốc vừa bị phát hiện
Ẩn sâu bên trong một phần mềm thuế hết sức bình thường hóa ra lại là một phần mềm gián điệp cực kỳ tinh vi và phức tạp.
Công ty an ninh mạng Trustwave vừa phát hành một báo cáo chi tiết về việc phát hiện ra một loại phần mềm độc hại mới, ẩn trong phần mềm thuế của Trung Quốc .
Sự việc bắt đầu vào tháng 4 năm nay, khi bộ phận SpiderLabs của công ty đã thực hiện việc kiểm tra bảo mật toàn diện cho một khách hàng. Trong quá trình này, họ phát hiện sự tồn tại của một phần mềm độc hại ẩn bên trong phần mềm thuế của Trung Quốc, được đặt tên là GoldenSpy. Nó đã cài đặt một cửa hậu cho phép kẻ tấn công truy cập hoàn toàn vào mạng của công ty.
Công ty nói trên là một nhà cung cấp công nghệ toàn cầu, với các hoạt động kinh doanh quan trọng có liên quan tới các tổ chức chính phủ tại Mỹ, Úc, Anh và gần đây đã mở văn phòng tại Trung Quốc. Và khi mở hoạt động tại Trung Quốc, ngân hàng địa phương của họ đã yêu cầu công ty phải cài đặt gói phần mềm có tên là Intelligent Tax (Thuế thông minh), một sản phẩm do Golden Tax Department of Aisino Corporation phát triển, phục vụ cho việc nộp thuế tại địa phương.
Tuy nhiên, sự việc không chỉ có vậy. Báo cáo mới của Trustwave nhấn mạnh rằng họ cũng đã phát hiện ra một phần mềm gián điệp mới, ẩn bên trong một phần mềm thuế khác, loại được sử dụng để thanh toán VAT cho các doanh nghiệp hoạt động tại Trung Quốc. Mặc dù phần mềm độc hại mới này – thứ mà công ty đang gọi là GoldenHelper – cũng được phân phối thông qua phần mềm thuế, nhưng nó hoàn toàn khác với GoldenSpy ở trên.
Video đang HOT
Cụ thể, chiến dịch phần mềm độc hại GoldenHelper đã hoạt động vào năm 2018 và hơn nửa năm 2019, trước khi nó đột ngột ngừng hoạt động vào tháng 7 năm ngoái. Trong toàn bộ thời gian, nó đã bị ẩn trong phần mềm lập hóa đơn China’s Golden Tax, thứ được các doanh nghiệp sử dụng để hạch toán và nộp thuế VAT.
Và sau một báo cáo bảo mật có liên quan được đưa ra vào tháng 7 năm ngoái, Trustwave nhận thấy rằng một chương trình đã được đưa vào phần mềm thuế nói trên, và nhiệm vụ của nó là xóa tất cả dấu vết của phần mềm độc hại từng tồn tại. Mặc dù Trustware không nói ai đứng sau GoldenHelper tại thời điểm này, nhưng họ tin rằng loạt phần mềm gián điệp này là một phần của chiến dịch tầm cỡ quốc gia.
“Hiện tại, các tổ chức hoạt động tại Trung Quốc đều phải sử dụng phần mềm thuế của địa phương để tiếp tục kinh doanh ở đó”, Phó chủ tịch bộ phận Phát hiện và ứng phó mối đe dọa mạng tại Trustwave, Brian Hussey, chia sẻ trên blog công ty. “Trustwave SpiderLabs hiểu rằng phần mềm hóa đơn thuế VAT là yêu cầu của chính phủ và khuyến nghị rằng bất kỳ hệ thống nào lưu trữ ứng dụng của bên thứ ba cũng có tiềm năng thêm cửa hậu vào hệ thống mạng của bạn, hãy cách ly và theo dõi chặt chẽ và có quy trình nghiêm ngặt trong quá trình sử dụng.”
Phát hiện chiến dịch tấn công gián điệp tinh vi trên thiết bị Android
Một chiến dịch tấn công tinh vi nhắm vào người dùng thiết bị Android, được cho là khá giống hoạt động của nhóm tin tặc OceanLotus mới được phát hiện.
Được đặt tên là PhantomLance, chiến dịch đã hoạt động từ năm 2015 đến nay với nhiều phiên bản phần mềm gián điệp tinh vi - là những phần mềm dùng để thu thập dữ liệu của nạn nhân, cùng các chiến thuật phát tán thông minh - như qua hàng chục ứng dụng trên cửa hàng Google Play chính thức.
Vào tháng 7/2019, một nhóm các nhà nghiên cứu bảo mật đã báo cáo về mẫu phần mềm gián điệp mới được tìm thấy trên Google Play.
Báo cáo đã thu hút sự chú ý của Kaspersky bởi các đặc điểm khác lạ của phần mềm này, với mức độ tinh vi và hoạt động rất khác so với những Trojans thường được tải lên các cửa hàng ứng dụng chính thức.
Thông thường nếu người tạo tìm cách tải ứng dụng độc lại lên cửa hàng ứng dụng chính thức, họ sẽ đầu tư nguồn lực đáng kể để quảng bá ứng dụng nhằm tăng số lượng cài đặt và nạn nhân bị tấn công.
Nhưng đối với các ứng dụng độc hại mới được phát hiện này lại không như vậy. Dường như các hacker đứng sau mã độc không quan tâm đến việc phát tán hàng loạt.
Phần mềm gián điệp trên Google Play được ngụy trang dưới dạng ứng dụng dọn dẹp trình duyệt
Theo các nhà nghiên cứu, đây có thể là dấu hiệu của hoạt động tấn công có chủ đích APT. Nghiên cứu bổ sung phát hiện một số phiên bản khác nhau với nhiều mẫu phần mềm độc hại có điểm tương đồng về cách mã hóa.
Chức năng của tất cả các mẫu phần mềm độc hại đều là thu thập thông tin của nạn nhân. Mặc dù mục đích của mã độc này về cơ bản không rộng lắm, bao gồm định vị địa lý, nhật ký cuộc gọi, truy cập thông tin liên lạc và SMS, ứng dụng cũng có thể thu thập danh sách các ứng dụng đã cài đặt, thông tin về thiết bị, như kiểu máy và phiên bản hệ điều hành.
Hơn nữa, các tin tặc có thể tải xuống và thực thi các tấn công khác nhau, từ đó điều chỉnh cho phù hợp với từng thiết bị tùy vào phiên bản Android và các ứng dụng đã cài đặt. Bằng cách này, tin tặc có thể tránh làm quá tải ứng dụng nhưng vẫn có thể thu thập được những thông tin cần thiết.
Nghiên cứu sâu hơn chỉ ra rằng PhantomLance được phát tán trên nhiều nền tảng và thị trường khác nhau, trong đó có Google Play và APKpure.
Các quốc gia đứng đầu về các vụ tấn công bởi PhantomLance
Nhằm tạo sự tin cậy cho ứng dụng, các hacker tạo hồ sơ giả mạo của đơn vị phát triển bằng Github. Ngoài ra để tránh cơ chế lọc từ các nền tảng và thị trường, những phiên bản đầu tiên của ứng dụng được hacker tải lên không chứa bất kỳ mã độc nào. Tuy nhiên, với các bản cập nhật sau này, mã độc đã được tiêm vào ứng dụng để tấn công thiết bị.
Theo Kaspersky Security Network, kể từ năm 2016, khoảng 300 nỗ lực lây nhiễm đã được thực hiện trên các thiết bị Android ở những quốc gia như Ấn Độ, Việt Nam, Bangladesh và Indonesia.
Việt Nam là một trong những quốc gia có số vụ tấn công hàng đầu. Ngoài ra, một số ứng dụng chứa mã độc được sử dụng trong chiến dịch cũng được đặt tên bằng tiếng Việt.
Các nhà nghiên cứu xác định rằng PhantomLance giống ít nhất 20% so với một trong các chiến dịch tấn công thiết bị Android có liên quan đến OceanLotus, một nhóm tin tặc đã hoạt động ít nhất là từ năm 2013 và mục tiêu chủ yếu ở khu vực Đông Nam Á.
Hơn nữa, một số trùng hợp đáng chú ý đã được tìm thấy với các hoạt động trước đây của OceanLotus trên Windows và MacOS. Do đó, các nhà nghiên cứu của Kaspersky khá tin rằng chiến dịch PhantomLance có thể liên quan đến OceanLotus.
Xuất hiện phương thức phát tán mã độc cực kỳ tinh vi, người dùng thiết bị Android cần cảnh giác Bằng cách giả dạng ứng dụng của bưu điện, hacker có thể đánh cắp mọi thông tin của người dùng và phát tán mã độc sang các số liên hệ trong danh bạ khổ chủ. Mới đây, công ty Cybereason chuyên về bảo mật có trụ sở tại Boston - Mỹ đã đưa ra cảnh báo đối với người dùng Android về cách...