ICTnews – Trojan PoisonIvy được sử dụng để tấn công hệ thống nhằm đánh cắp thông tin nhạy cảm của các công ty hóa học và quốc phòng trong chiến dịch “Nitro” kéo dài hơn 2 tháng.

ICTnews – Trojan PoisonIvy được sử dụng để tấn công hệ thống nhằm đánh cắp thông tin nhạy cảm của các công ty hóa học và quốc phòng trong chiến dịch “Nitro” kéo dài hơn 2 tháng.

Theo tài liệu Symantec vừa công bố hôm 31/10, chiến dịch có tên “Nitro” bắt đầu từ tháng 4 vừa qua. Nhóm tội phạm ảo ban đầu nhằm vào các tổ chức nhân quyền và công nghiệp tự động trước khi chuyển hướng sang công nghiệp hóa học hồi tháng 7. Symantec cho rằng mục tiêu tấn công dường như là gián điệp công nghiệp, thu thập tài sản sở hữu trí tuệ để tăng cường lợi thế cạnh tranh.

Ít nhất 48 công ty trong nhiều ngành là mục tiêu của nhóm tội phạm, trong đó 29 công ty liên quan tới lĩnh vực nghiên cứu - phát triển hợp chất hóa học và phát triển nguyên vật liệu cho xe quân sự. 19 công ty còn lại thuộc các lĩnh vực khác, gồm cả quốc phòng. 12 nạn nhân có trụ sở tại Mỹ, 5 tại Anh, và số khác nằm ở Đan Mạch, Ý, Hà Lan và Nhật Bản. Phần lớn hệ thống bị ảnh hưởng đều đặt tại Mỹ và Bangladesh.

Chiến dịch dựa trên thư điện tử (e-mail) đính kèm trojan nổi tiếng PoisonIvy. Một bộ e-mail gửi tới người nhận đích trong tổ chức dưới dạng lời mời hội nghị từ đối tác quen thuộc, trong khi bộ e-mail khác lại được gửi tới nhóm nạn nhân lớn hơn, giả trang thành bản cập nhật bảo mật. Một khi đã ở trong hệ thống, PoisonIvy sẽ mở “cửa sau” và kết nối với máy chủ điều khiển và lệnh từ xa, chuyển địa chỉ iP, tên máy tính khác trong nhóm làm việc hoặc tên miền, dữ liệu mật khẩu Windows. Các chuyên gia từ Symantec chỉ rõ: “Bằng cách truy cập vào máy tính thông qua tài khoản người dùng hoặc bẻ khóa mật khẩu từ kho dữ liệu vừa đánh cắp, những kẻ tấn công bắt đầu xâm nhập mạng lưới và lây nhiễm trojan sang máy tính bổ sung”.

Mục tiêu chủ yếu của nhóm tấn công này là có được quyền quản trị tên miền và truy cập vào hệ thống lưu trữ tài sản sở hữu trí tuệ. Một khi phát hiện tài sản sở hữu trí tuệ, chúng sẽ sao chép lại dữ liệu vào hệ thống nội bộ được thiết kế như khu vực xử lí (staging area). Dữ liệu sau đó được tải lên máy chủ từ xa, có nguồn gốc từ máy chủ ảo (VPS) tại Mỹ và thuộc quyền sở hữu của “nam thanh niên khoảng 20 tuổi tại khu vực Hebei (Trung Quốc)”.

Kĩ thuật này tương tự với những gì được sử dụng trong vụ tấn công vào nhà thầu quốc phòng lớn nhất Nhật Bản – Mitsubishi Heavy hồi tháng 8, tuy nhiên Symantec từ chối đưa tên bất kì công ty Nhật nào chịu ảnh hưởng. Noa Bar Yosef, chuyên gia an ninh chiến lược cao cấp cho biết bọn tội phạm ngày càng tung nhiều hoạt động do thám tinh vi nhằm đánh hơi tài liệu mật trước khi đánh cắp chúng từ tổ chức.

Phát triển bởi coder người Trung Quốc, PoisonIvy được biết tới rộng rãi trên Internet và có trang web riêng. Nó có liên quan tới các cuộc tấn công mạng gần đây, bao gồm cả chiến dịch tấn công hãng bảo mật RSA Security và cho phép đánh cắp thông tin liên quan tới công nghệ chứng thực SecurID.

Symantec cho biết trong thời gian này, các công ty hóa học cũng là mục tiêu của vài nhóm khác, thông qua các tệp tin PDF và DOC độc hại, khai thác lỗ hổng để tải về Sogu – một loại trojan “cửa sau”. Rất khó để xác định băng đảng “Nitro” có liên quan tới nhóm sử dụng Sogu hay không, nhưng câu trả lời dường như là “không” do phương thức tấn công khác nhau.

Du Lam

Theo eWeek