MiniDuke – kẻ gián điệp trong cơ quan chính phủ

Kaspersky Lab vừa công bố kết quả nghiên cứu, phân tích chương trình độc hại mới MiniDuke được thiết kế với mục đích gián điệp ở các tổ chức, cơ quan chính phủ trên thế giới.

Nhiều hồ sơ mục tiêu cao cấp của cơ quan chính phủ bị tổn hại

 

MiniDuke là sự kết hợp tinh vi giữa kỹ thuật viết phần mềm độc hại “Old School” và sự khai thác lỗ hổng Adobe Reader tiên tiến nhằm thu thập thông tin tình báo địa chính trị từ những hồ sơ mục tiêu cao cấp.Nạn nhân của những cuộc tấn công này, theo phát hiện của Kaspersky Lab là một số lượng lớn những hồ sơ mục tiêu cao cấp bị tổn hại của các cơ quan chính phủ ở Ukraine, Bỉ, Bồ Đào Nha, Ý, Cộng Hòa Séc và Cộng Hòa Ireland. Ngoài ra, một học viện nghiên cứu, hai viện chính sách, nhà cung cấp dịch vụ chăm sóc sức khỏe của Mỹ và một tổ chức nghiên cứu nền tảng nổi tiếng ở Hungary.

 

Hiện hệ thống của Kaspersky Lab đã vô hiệu hóa các phần mềm độc hại MiniDuke, gồm HEUR: Backdoor.Win32.MiniDuke.gen và Backdoor.Win32.Miniduke. Kaspersky Lab cũng phát hiện lỗ hổng được sử dụng trong các tài liệu PDF, Exploit.JS.Pdfka.giy.

 

Đường lối tấn công vô cùng tinh xảo

 

Theo kết quả nghiên cứu ban đầu của Kaspersky Lab, để gây hại các nạn nhân, những kẻ tấn công sử dụng kỹ thuật social engineering hiệu quả, bao gồm gửi các tài liệu PDF độc hại đến đối tượng. Các tập PDF có liên quan mật thiết đến nội dung bản thảo về việc xây dựng hội thảo thông tin nhân quyền (ASEM), chính sách đối ngoại và gia nhập NATO của Ukraine. Những tập tin độc hại này được dựng với các lỗ hổng tấn công Adobe Reader phiên bản 9, 10 và 11 bằng cách vượt qua sandbox. Một bộ công cụ được dùng để tạo ra những lỗ hổng này và có thể đây cũng là bộ công cụ đã được sử dụng trong cuộc tấn công gần đây theo báo cáo của FireEye. Tuy nhiên, các lỗ hổng được dùng trong cuộc tấn công MiniDuke là cho nhiều mục đích khác nhau và có phần mềm độc hại tùy biến riêng.

 

Khi hệ thống bị khai thác, một chương trình download rất nhỏ có dung lượng 20kb được đặt trong ổ đĩa của nạn nhân. Chương trình download này khác biệt cho mỗi hệ thống và chứa một backdoor tùy biến được viết bằng Assembly. Khi hệ thống khởi động, chương trình sử dụng một tập hợp các tính toán toán học để xác định dấu vân tay duy nhất của máy tính, và lần lượt sử dụng dữ liệu này để mã hóa các thông tin liên lạc của nó sau này. Nó cũng được lập trình để tránh sự phân tích bởi bộ hardcode của các công cụ trong môi trường nhất định như VMware. Nếu tìm thấy bất kỳ chỉ số nào, nó sẽ chạy nhàn rỗi trong môi trường thay vì chuyển sang một giai đoạn khác và phơi bày chức năng của nó bằng cách giải mã chính nó, điều này cho thấy những người viết phần mềm độc hại biết chính xác những gì các chuyên gia bảo mật chống virus và CNTT đang làm để phân tích và xác định các phần mềm độc hại.

 

Nếu mục tiêu của hệ thống đáp ứng các yêu cầu được xác định trước, phần mềm độc hại sẽ sử dụng Twitter (người dùng không biết) và bắt đầu tìm kiếm các tweet cụ thể từ tài khoản đã được thực hiện từ trước. Những tài khoản này được tạo ra bởi lệnh và kiểm soát (C2) của những người vận hành MiniDuke, và các nội dung tweet sẽ duy trì các cụm từ cụ thể đánh dấu URL mã hóa cho các backdoors. Các URL này cung cấp cách truy cập vào các C2, sau đó cung cấp lệnh tiềm năng cũng như các điều chuyển được mã hóa của các backdoor bổ sung vào hệ thống thông qua các tập tin GIF.

 

Dựa theo phân tích này, người tạo ra MiniDuke cung cấp một hệ thống sao lưu năng động hoạt động một cách thận trọng, rất khó phát hiện. Nếu Twitter không hoạt động hay tài khoản bị hủy bỏ, phần mềm độc hại có thể sử dụng Google tìm kiếm các chuỗi mã hóa cho C2 tiếp theo. Mô hình này linh hoạt và cho phép những người khai thác liên tục thay đổi các backdoor nhận lệnh hoặc thêm mã độc vào máy tính khi cần thiết.

 

Một khi hệ thống bị nhiễm định vị C2, nó nhận được backdoors mã hóa giả với tập tin GIF và cải trang giống như các hình ảnh xuất hiện trên máy tính của nạn nhân. Một khi chúng được tải về máy, chúng có thể tải về một backdoor lớn hơn thực hiện một số hành động cơ bản, chẳng hạn như  sao chép, di chuyển tập tin, loại bỏ các tập tin, tạo thư mục, dừng quá trình, và tất nhiên là tải về và thực hiện các phần mềm độc hại mới.

 

Backdoor của phần mềm độc hại liên kết đến hai máy chủ, một đặt tại Panama và một tại Thổ Nhĩ Kỳ, nhận chỉ thị hoạt động từ các kẻ tấn công. Thông tin chi tiết về nghiên cứu báo cáo từ Kaspersky Lab và những cách bảo vệ chống lại MiniDuke, xem tại https://www.securelist.com/.

 

Ô Lâu (theo Kaspersky Lab)

Lỗi xóa toàn bộ thư viện ứng dụng Kindle trong iOS

Amazon vừa ra khuyến cáo người dùng thiết bị Apple iOS về bản cập nhật mới của ứng dụng Amazon Kindle 3.6.1, chứa lỗi xóa toàn bộ thư viện sách điện tử.

Hành trang du xuân

Thời điểm đầu năm là quãng thời gian đẹp nhất để bắt đầu những chuyến phượt xa nhà, ngắm những cảnh sắc giao mùa đông sang xuân, tận hưởng những phút giây thư giãn thoải mái của một chuyến chơi xa. Một balo với đầy đủ những trang thiết bị hỗ trợ là rất cần thiết cho người đi phượt. Nhưng sẽ thiếu sót lớn nếu bạn là dân phượt lại thiếu vắng các “đồ chơi” công nghệ giúp buổi chơi xa trở nên trọn vẹn.

Cách khắc phục khi mất kết nối Internet

Có rất nhiều nguyên nhân khiến máy tính không thể kết nối mạng, trong đó phổ biến nhất là những lỗi liên quan đến thiết lập tài khoản, IP, DNS, Proxy, lỗi đường truyền…

Tại sao không nên “cướp ngục” iPhone?

Việc jailbreak giúp người dùng nắm toàn quyền sử dụng iPhone: từ thay đổi giao diện, cài ứng dụng “chùa”, …đến tinh chỉnh các file hệ thống. Tuy nhiên, jailbreak cũng khiến cho chiếc smartphone của bạn gặp khá nhiều rủi ro.

Buồn vui du học xứ người

Bỡ ngỡ khi lần đầu tiên đặt chân lên xứ người, khó khăn trong giao tiếp, trái ngược văn hóa, bất đồng ngôn ngữ, phương pháp dạy và học quá mới… là những gì mà hầu hết các du học sinh đều gặp phải. Tuy nhiên, tất cả những điều này rồi đây đều sẽ trở thành những kỷ niệm đẹp, khó quên. Dòng tâm sự của những du học sinh gửi về cho TH&NT dưới đây sẽ là hành trang bổ ích dành cho bạn đọc có ý định du học hoặc chỉ muốn tò mò tìm hiểu về phương pháp dạy và học ở các nước tiên tiến.

Mẹo tìm kiếm hiệu quả nhất bằng Google

Mỗi lần tìm kiếm, Google luôn trả về số lượng kết quả khổng lồ. Nhưng cách sau sẽ giúp bạn tìm được nội dung mong muốn nhất trong môt số những kết quả search đó.

Tự thiết lập cầu truyền hình cho ngày Tết

Với những thiết bị có sẵn như điện thoại di động, máy tính bảng hay thậm chí là máy ảnh kỹ thuật số có hệ điều hành, bạn hoàn toàn có thể thực hiện một chương trình cầu truyền hình chuyên nghiệp đón chào năm mới 2013 chỉ bằng ứng dụng Ustream.

Người dùng PassedOn có thêm cơ hội sử dụng dịch vụ lưu trữ thông tin iCloud

Sau hai tháng ra mắt (đầu tháng 1/2013) tại TPHCM và trên toàn thế giới, mạng xã hội PassedOn(www.passed-on.com) đã quyết định nâng cấp hệ thống bằng việc sử dụng dịch vụ lưu trữ thông tin iCloud của Apple.

Hợp sức đánh sập mạng Botnet lừa đảo nhấp chuột

Thông cáo của Symantec công bố ngày 18/2 cho hay, Symantec và Microsoft đã hợp sức đánh sập cụm máy chủ kiểm soát và điều khiển (C&C Servers) được điều khiển bởi một mối đe dọa bảo mật mang tên Trojan.Bamital.

Thư giả mạo dịch vụ chuyển phát nhanh FedEx

Symantec vừa phát đi thông cáo, bộ phận Phản ứng bảo mật của Symantec vừa phát hiện những thư giả mạo dịch vụ chuyển phát nhanh FedEx rất tinh vi.