TG-3390 nhóm gián điệp Trung Quốc tấn công hơn 100 trang web để “bẫy” nạn nhân
Ngày 06/08/2015, tại Hội nghị bảo mật thông tin Black Hat được tổ chức tại Las Vegas, các nhà nghiên cứu đến từ hãng bảo mật Dell SecureWorks đã tiết lộ về một nhóm tin tặc Trung Quốc mới phát hiện mang tên Threat Group 3390 hay Emissary Panda.
Cụ thể, các nhà nghiên cứu cho biết, TG-3390 đã nhắm mục tiêu vào các ngành công nghiệp trên khắp thế giới nhằm đánh cắp một số lượng lớn dữ liệu công nghiệp. Phần lớn các mục tiêu của nhóm này nằm trong các ngành công nghiệp điện tử, ô tô, hàng không vũ trụ, năng lượng và dược phẩm. Bên cạnh đó, nhóm tin tặc được cho là đến từ Trung Quốc này cũng tấn công vào các nhà thầu quốc phòng, các trường đại học và cao đẳng, các công ty luật và các tổ chức chính trị, bao gồm cả các tổ chức có liên quan đến các nhóm dân tộc thiểu số tại Trung Quốc.
Phần lớn các mục tiêu của TG-3390, hay Emissary Panda thuộc các ngành công nghiệp điện tử, ô tô, hàng không vũ trụ, năng lượng và dược phẩm
Theo báo cáo của Dell SecureWorks, TG-3390 chủ yếu tấn công hệ thống của các mục tiêu thông qua các cuộc tấn công watering-hole nhắm vào hơn 100 trang web hợp pháp. Các trang web này được lựa chọn vì chúng thường được ghé thăm bởi các mục tiêu của nhóm tin tặc này.
Ít nhất 50 tổ chức thuộc các ngành công nghiệp kể tại Mỹ và Anh đã bị TG-3390 đánh cắp dữ liệu. Các trang web bị nhắm mục tiêu bao gồm trang web của đại sứ quán Nga tại Mỹ cũng như các đại sứ quán khác và các tổ chức phi chính phủ; các trang web của các cơ quan chính phủ trên toàn thế giới; các công ty sản xuất, nhiều trong số đó là các nhà cung cấp cho các nhà thầu quốc phòng; và nhà sản xuất quốc phòng Tây Ban Nha – Amper. Một trang web văn hóa dành cho người Duy Ngô Nhĩ của Trung Quốc cũng đã được sử dụng, rõ ràng là để nhắm mục tiêu vào cộng đồng Hồi giáo.
Video đang HOT
Các nhà nghiên cứu cho biết, không có lỗ hổng zero-day nào được sử dụng để xâm nhập vào các hệ thống mạng mục tiêu, mà thay vào đó “nhóm tin tặc này dựa vào các lỗ hổng cũ như CVE-2011-3544, lỗ hổng bảo mật gần 1 năm tuổi trên Java, và CVE-2010-0738 để tấn công các mục tiêu”. TG-3390 sử dụng một số công cụ mà các nhóm tin tặc Trung Quốc khác thường sử dụng, tuy nhiên, chúng cũng có những công cụ độc nhất với giao diện được phát triển cho tiếng Trung giản thể.
Một trong các công cụ này là công cụ truy cập từ xa PlugX, “một mã độc khét tiếng liên quan đến một số cuộc tấn công và một nhóm tin tặc khác mà các nhà nghiên cứu cho rằng cũng có xuất xứ từ Trung Quốc”. Dường như nhóm tin tặc này cũng sử dụng bộ máy tìm kiếm Baidu để thực hiện trinh sát các mục tiêu.
Những người ghé thăm các trang web bị khai thác bởi Emissary Panda sẽ bị mã nhúng trong các trang web này điều hướng đến một trang web độc hại, hiển thị địa chỉ IP của họ. Nếu địa chỉ này nằm trong phạm vi những kẻ tấn công quan tâm, trang web độc hại sẽ đợi đến khi các nạn nhân xem trang tiếp theo để cài mã độc vào máy tính của họ. Bên cạnh đó, có ít nhất một nạn nhân đã bị nhắm mục tiêu bởi cuộc tấn công spear-phising. Một loạt các mã độc, bao gồm PlugX, đã được chia sẻ với các nhóm tin tặc Trung Quốc khác.
Tuy nhiên, có 2 công cụ chỉ được sử dụng cho nhóm này là ASPXTool, một “Web shell” Dịch vụ thông tin Internet (IIS) cụ thể được sử dụng để đoạt quyền truy cập vào các máy chủ bên trong hệ thống của mục tiêu; và công cụ đánh cắp thông tin OwaAuth được sử dụng để tấn công các máy chủ Microsoft Exchange chạy giao diện Web Outlook.
Khi xâm nhập vào hệ thống, các tin tặc thường nhắm mục tiêu vào bộ điều khiển miền Windows và các máy chủ Exchange, nhắm mục tiêu vào các thông tin đăng nhập của người dùng, cho phép chúng di chuyển sang các hệ thống khác trên toàn hệ thống bị nhắm mục tiêu. Chúng sử dụng một công cụ khai thác Internet Information Server để cài cửa hậu và mã độc ghi thao tác bàn phím vào máy chủ Exchange.
Việc xâm nhập vào bộ điều khiển miền và các máy chủ Exchange mang lại cho tin tặc cơ hội đánh cắp thông tin quản trị viên cùng các thông tin cấp cao khác và chúng có thể nhanh chóng xác định những mục tiêu được quan tâm cũng như chuyển sang xâm nhập các hệ thống khác trong mạng lưới của nạn nhân – thường chỉ trong 2 giờ sau lần xâm nhập đầu tiên.
Hữu Thiên (dịch từ arstechnica.com)
Theo NTD
Người Mỹ coi Trung Quốc "nguy hiểm chỉ sau IS"
Một cuộc khảo sát mới đây cho thấy người dân Mỹ xem Trung Quốc là mối đe dọa thứ hai chỉ sau IS. Điều này được cho là do các động thái của Trung Quốc gây bức xúc dư luận quốc tế suốt thời gian qua.
Khảo sát của Fox News cho thấy IS và Trung Quốc là hai mối đe dọa hàng đầu đối với nước Mỹ. (Ảnh: Fox News)
Theo một khảo sát do Fox News tiến hành từ ngày 21-23/6, với 33% số phiếu nói CÓ, lực lượng khủng bố Nhà nước Hồi giáo tự xưng (IS) được coi là mối lo ngại an ninh hàng đầu đối với người dân Mỹ.
Trung Quốc đứng thứ hai với 26% số phiếu. Nguyên nhân chính Trung Quốc nổi lên trở thành mối lo ngại thứ hai với an ninh nước Mỹ là do những động thái gần đây của nước này tại Biển Đông.
Việc Bắc Kinh tiến hành bồi đắp trái phép các đảo nhân tạo và lớn tiếng thể hiện yêu sách vô lý tại Biển Đông suốt thời gian qua đã làm dấy lên bức xúc và lo ngại trong cộng đồng quốc tế về nguy cơ gia tăng xung đột tại khu vực.
Bên cạnh đó, Mỹ gần đây cũng thường xuyên phải đối mặt với nguy cơ mất an toàn an ninh mạng khi liên tục bị tấn công và đánh cắp thông tin mật, được cho là do các tin tặc Trung Quốc tiến hành.
Kết quả cuộc khảo sát cũng cho thấy chỉ 9% số người Mỹ được hỏi coi Nga là mối đe dọa an ninh, đứng thứ 3. Tiếp đó là Iran và al-Qaeda.
Trong khi đó tại Nga, Mỹ và Tổng thống Barack Obama được coi là mối đe dọa chính đối với quốc gia này, chiếm 37% tổng số câu trả lời trong một khảo sát do Trung tâm Nghiên cứu Dân ý Nga tiến hành.
Nghi Phương
Theo Dantri/ Sputnik
Kaspersky: Các chiến dịch tấn công mạng vào Đông Nam Á đầu tiên của Naikon Ngày 21/05/2015, hãng bảo mật Kaspersky đã phát hành báo cáo mang tên "The MsnMM Campaigns" (Các chiến dịch MsnMM), cung cấp thêm thông tin về các chiến dịch đầu tiên của nhóm tin tặc Trung Quốc - Naikon. Trong hơn nửa thập kỷ, nhóm tin tặc Naikon đã tiến hành nhiều chiến dịch tấn công vào các mục tiêu nhạy cảm tại...