Vương Đình Huệ: Ủy viên Trung ương Đảng - Trưởng ban Kinh tế Trung ương, Vương Đình Huệ - Website thông tin chính thức về Trưởng ban Kinh tế Trung ương Vương Đình Huệ: Ủy viên Trung ương Đảng, Trưởng ban Kinh tế Trung ương: Cuộc đời, Tiểu sử, Hoạt động8.3trên10617
Vương Đình Huệ » Không gian mạng » ‘Five Eyes’ cảnh báo 05 công cụ mạng nguy hiểm

(Không gian mạng) - Ngày 11/10, các cơ quan an ninh mạng ở Mỹ, Anh, Canada, Úc và New Zealand đã phát hành một báo cáo chung về 5 công cụ tấn công mạng phổ biến nhất.

fiveeyes

Báo cáo được viết bởi các chuyên gia thuộc Trung tâm An ninh mạng Úc (ACSC), Trung tâm An ninh mạng Canada (CCCS), Trung tâm An ninh mạng New Zealand (NZ NCSC), Trung tâm Ứng cứu máy tính khẩn cấp New Zealand (CERT), Trung tâm An ninh mạng Quốc gia Anh (UK NCSC), Trung tâm Hợp nhất An ninh mạng và Truyền thông Quốc gia Mỹ (NCCIC).

Mục tiêu của báo cáo là cung cấp mạng lưới phòng thủ và lời khuyên giúp các quản trị viên hệ thống phát hiện và hạn chế sự ảnh hưởng từ chúng, tác giả báo cáo cho biết.

5 loại công cụ được báo cáo gồm: mã độc truy cập từ xa (RAT), web shell, mã độc di chuyển ngang hàng, mã độc làm rối máy chủ C&C và công cụ đánh cắp thông tin đăng nhập – tất cả chúng đều được sử dụng sau khi hệ thống mục tiêu bị lây nhiễm.

RAT được nhắc đến trong báo cáo là mã độc JBiFrost, một biến thể của Adwind. Các cơ quan thuộc Five Eyes cảnh báo rằng, dù JBiFrost chủ yếu được sử dụng bởi giới tội phạm mạng và tin tặc thiếu kỹ năng, nhưng nó cũng sẽ là một công cụ hữu ích đối với những nhóm tin tặc do nhà nước bảo trợ.

JBiFrost hoạt động trên các hệ điều hành Windows, Linux, macOS và Android, có khả năng di chuyển hàng ngang, cài đặt mã độc phụ, triển khai tấn công từ chối dịch vụ (DDoS) và đánh cắp thông tin.

Các cơ quan này cảnh báo, JBiFrost đang ngày càng được dùng nhiều trong những chiến dịch có mục tiêu, nhắm đến nhà điều hành cơ sở hạ tầng trọng yếu và chuỗi cung ứng của họ.

Mã độc web shell được mô tả trong báo cáo là China Chopper, cho phép tin tặc truy cập từ xa vào hệ thống máy chủ lây nhiễm. Được sử dụng rộng rãi từ năm 2012, một shell chỉ nặng 4Kb và trình tải (payload) của nó lại dễ dàng chỉnh sửa, chính điều này làm cho chúng khó bị phát hiện hơn.

Mã độc China Chopper được dùng vào mùa hè 2018 trong một cuộc tấn công khai thác lỗ hổng Adobe ColdFusion có tên là CVE-2017-3066.

Công cụ tiếp theo là Mimikatz, một ứng dụng mã nguồn mở phổ biến được công khai trong hơn 10 năm nay. Mimikatz được nhiều nhóm tin tặc sử dụng để đánh cắp mật khẩu, trong đó mới nhất có chiến dịch NotPetya và Bad Rabbit.

Báo cáo cũng cảnh báo về mã độc PowerShell Empire, với cấu trúc di chuyển hàng ngang, được công khai vào năm 2015 như một công cụ kiểm tra xâm nhập hợp pháp. PowerShell Empire cho phép tin tặc nâng cấp đặc quyền, thu thập thông tin đăng nhập, theo dõi thao tác bàn phím, tìm kiếm các địa chỉ host gần đó và di chuyển hàng ngang xuyên suốt mạng lưới.

Công cụ này được dùng nhiều năm trở lại đây trong những cuộc tấn công nhắm vào cơ sở năng lượng Anh, các tổ chức Hàn Quốc như một phần của chiến dịch mang chủ đề Thế vận hội Mùa đông, một hãng luật đa quốc gia và giới học viện.

Công cụ cuối cùng được mô tả trong báo cáo là HUC Packet Transmitter (HTran), cho phép tin tặc làm rối đường truyền liên lạc. Tin tặc dùng công cụ này để qua mắt các sản phẩm dò tìm mã độc, làm rối lưu lượng C&C và mở rộng cơ sở hạ tầng C&C của chúng.

“Những công cụ này được dùng để xâm nhập thông tin hàng loạt cơ sở trọng điểm thuộc nhiều lĩnh vực khác nhau, bao gồm y tế, tài chính, chính phủ và quốc phòng. Sự phổ biến rộng rãi của các công cụ này là một thách thức đối với hệ thống phòng thủ và quy kết thủ phạm”, báo cáo viết. “Từ kinh nghiệm của các nước cho thấy rõ ràng rằng, trong khi tin tặc không ngừng phát triển khả năng của mình, chúng vẫn tận dụng những kỹ thuật và công cụ đã có. Thậm chí cả những nhóm tin tặc tinh vi nhất cũng sử dụng công cụ sẵn có công khai để đạt được mục tiêu của mình”.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]