Nhóm gián điệp lẩn trốn trên không

Điều tra về nhóm gián điệp mạng khét tiếng Turla, các chuyên gia Kaspersky Lab đã phát hiện ra cách mà nhóm này che giấu hành vi và vị trí hoạt động của mình. Hoạt động ẩn danh, nhóm gián điệp này đã sử dụng điểm yếu bảo mật của mạng vệ tinh toàn cầu.

Nhóm gián điệp lẩn trốn trên không - kas
Nguồn báo cáo của Kaspersky Lab 2015.
 

Turla là nhóm gián điệp mạng tinh vi đã hoạt động hơn 8 năm, đã lây nhiễm hàng trăm máy tính trên hơn 45 quốc gia bao gồm Kazakhstan, Nga, Trung Quốc, Việt Nam và Hoa Kỳ. Tổ chức bị ảnh hưởng bao gồm các tổ chức chính phủ và lãnh sự quán cũng như các tổ chức quân đội, giáo dục, nghiên cứu và công ty dược phẩm. Vào giai đoạn đầu tiên – Epic – nhóm này tiến hành thu thập thông tin nạn nhân. Đối với các mục tiêu cấp cao, tin tặc sử dụng cơ chế liên lạc mở rộng bằng vệ tinh vào các giai đoạn sau của cuộc tấn công, nhằm xóa đi dấu vết. 

Vệ tinh viễn thông phần lớn được biết đến như công cụ để phát sóng truyền hình và thông tin liên lạc an toàn, cũng được dùng để kết nối mạng Internet. Những dịch vụ này được sử dụng chủ yếu ở những địa điểm xa có kết nối Internet chậm và không ổn định, hoặc chưa có. Một trong những loại kết nối Internet sử dụng vệ tinh phổ biến và rẻ nhất là kết nối chỉ tải xuống (Downstream connection). Yêu cầu được gửi đi từ máy tính người dùng đến vệ tinh bằng cách thông thường là kết nối dây hoặc GPRS. Công nghệ này cho phép người dùng nhận tốc độc tải xuống khá nhanh. Tuy nhiên, nó có một nhược điểm lớn là tất cả lưu lượng tải xuống máy tính không được mã hóa. Bất kì người dùng giả mạo nào với thiết bị và phần mềm đơn giản cũng có thể ngăn chặn sự lưu thông và truy cập vào tất cả dữ liệu người dùng đang tải xuống.

Nhóm gián điệp Turla đã lợi dụng nhược điểm này, sử dụng nó để giấu vị trí máy chủ điều khiển theo lệnh (C&C), một trong những phần quan trọng nhất của hệ thống độc hại. Máy chủ C&C là “nhà” cho phần mềm độc hại được triển khai trên máy tính mục tiêu. Phát hiện vị trí của loại máy chủ này giúp mở ra nhiều thông tin về kẻ đứng sau, và đây là cách mà nhóm Turlar ngăn chặn rủi ro:

1. Đầu tiên, nhóm này “nghe” luồng dữ liệu tải xuống từ vệ tinh để xác định địa chỉ IP của người dùng Internet vệ tinh đang hoạt động tại thời điểm đó.

2. Sau đó, những kẻ này chọn một địa chỉ IP để che giấu máy chủ C&C của mình mà người dùng không hề hay biết.

3. Máy tính bị nhóm Turla lây nhiễm sẽ xuất dữ liệu về địa chỉ IP được chọn từ người dùng Internet thường xuyên. Dữ liệu đi đến cổng vệ tinh Internet bằng cách thông thường, sau đó đi đến vệ tinh và cuối cùng, từ vệ tinh về lại người dùng với địa chỉ IP đã được chọn.

Thú vị là, người dùng hợp pháp có địa chỉ IP bị tin tặc lợi dụng để nhận dữ liệu từ máy tính bị nhiễm độc cũng nhận được gói tin dữ liệu nhưng họ hiếm khi để ý đến chúng. Đây là do tin tặc Turla lệnh cho các máy bị lây nhiễm gửi dữ liệu đến các cổng phần lớn đều bị mặc định là đóng. Vì vậy, máy tính của người dùng bỏ qua những gói tin này, trong khi máy chủ C&C của Turla vẫn giữ cổng mở và sẽ nhận và truy cập vào dữ liệu được xuất ra.

Nhóm gián điệp Turla còn có khuynh hướng sử dụng nhà cung cấp kết nối Internet vệ tinh tại Trung Đông và châu Phi. Trong nghiên cứu các chuyên gia Kaspersky Lab đã phát hiện nhóm Turla sử dụng IP của nhà cung cấp đặt tại các nước như Congo, Lebanon, Libya, Niger, Nigeria, Somalia hay Các tiểu vương quốc Ả Rập thống nhất. Chùm vệ tinh được các nhà khai thác sử dụng ở những nước này thường không bao gồm vùng lãnh thổ châu Âu và Bắc Mỹ, làm cho việc điều tra các cuộc tấn công như vậy rất khó khăn đối với hầu hết các nhà nghiên cứu bảo mật.

Stefan Tanase, Nhà Nghiên cứu an ninh cấp cao, Kaspersky Lab cho biết: “Trước đây, chúng tôi đã từng thấy ít nhất 3 cái tên sử dụng liên kết Internet sử dụng vệ tinh để che giấu hoạt động. Trong đó cách của nhóm gián điệp Turla sử dụng là khác thường và thú vị nhất. Những kẻ này có thể đạt đến cấp độ nặc danh cao nhất bằng cách khai thác công nghệ được sử dụng rộng rãi: Internet vệ tinh một chiều. Tin tặc có thể ở khắp mọi nơi trong vùng vệ tinh được chọn, ở khu vực mà có thể mở rộng ra hàng ngàn km2. Điều này khiến việc lần theo dấu vết chúng là không thể. Khi phương pháp này trở nên phổ biến hơn, việc quản trị viên triển khai các chiến lược phòng thủ đúng đắn để giảm thiểu các cuộc tấn công như vậy là rất cần thiết”.

Ô Lâu

Cánh cửa sổ nhìn ngắm cả thế giới

Nếu bạn không có góc nhìn đẹp từ phía bàn làm việc của mình, hãy để chiếc điện thoại hay máy tính bảng Android trên bàn như cánh cửa sổ thần kỳ vươn đến mọi ngõ ngách của thế giới, đem lại thêm nguồn cảm hứng trong công việc.

Hơn 75 triệu thiết bị đã cài đặt thành công Windows 10

Kể từ ngày ra mắt 29/7/2015 đến nay, hơn 75 triệu thiết bị đã tải về và cài đặt thành công Windows 10 trên toàn cầu – ông Yusuf Mehdi, Phó Chủ tịch khối Tiếp thị hệ điều hành Windows và thiết bị cho biết tại buổi gặp gỡ với báo chí ngày 26/8 ở Hà Nội.

Livetext – Bài chủ mới của Yahoo ở thị trường ứng dụng tin nhắn

Livetext, một ứng dụng cho phép người nhắn tin một cách nhanh chóng với những hình ảnh video sống động, chạy trên hầu hết mọi ngôn ngữ phổ biến trên thế giới, tất nhiên có tiếng Việt, vừa được Yahoo cho ra mắt.

Intel phác thảo mạng 5G như mơ trong tương lai

Tại Diễn Đàn Các Nhà Phát Triển Intel 2015 – Intel Developer Forum 2015 (gọi tắt là IDF 2015) đang diễn ra, Intel đã tổ chức một buổi hội thảo với chuyên đề về 5G. Tại đây, một thế hệ mạng lưới di động kế tiếp trong tương lai sẽ hỗ trợ cho các ứng dụng mới và trải nghiệm người dùng bằng cách kết hợp các kỹ thuật không dây tiên tiến với các công nghệ mạng thông minh, hiệu quả cao đã được phác thảo.

USB mới của Apacer đọc/ghi lên đến 400/300MB/s

AH553 – USB 3.0 mới của Apacer có tốc độ truy xuất dữ liệu lên tới 400MB/s (đọc) và 300MB/s (ghi), được xem là kỷ lục mới.

Lazada ra mắt ứng dụng quản lý bán hàng online trên điện thoại

Lazada vừa cho ra mắt ứng dụng dành cho Android – Lazada Seller Center trên điện thoại vào sáng ngày 6/8/2015. Ứng dụng này sẽ giúp cho việc bán hàng trên sàn giao dịch Lazada của các nhà cung cấp và nhà bán hàng trong toàn khu vực Đông Nam Á trở nên thuận tiện hơn.

Plextor ra mắt bộ 3 phần mềm cho SSD

Plextor, nhà sản xuất SSD vừa ra mắt bộ ba phần mềm dành cho SSD bao gồm PlexVault (phần mềm bảo mật dữ liệu), PlexCompressor (phần mềm nén dữ liệu thông minh) và công nghệ tăng tốc bộ sử dụng bộ nhớ đệm PlexTurbo thế hệ thứ ba vốn được giới thiệu lần đầu tiên tại hội chợ Computex 2015.

Sạc không dây cho thiết bị di động vỏ kim loại

Qualcomm vừa công bố đã thiết kế ra một giải pháp cho phép thiết bị có vỏ kim loại sử dụng sạc không dây mà không cần phải đặt chính xác hay tiếp xúc vật lý trực tiếp với đường dẫn nguồn điện.

Ứng dụng MoMo – Ngồi nhà lấy vé xem phim

Bạn muốn xem phim bom tấn mùa hè này với chỗ ngồi cực đẹp cùng gia đình, bè bạn nhưng không thể kịp mua vé vì trời mưa hoặc ngai xếp hàng dài dằng dặc?! Có khá nhiều ứng dụng mua vé xem phim, nhưng đơn giản và hoàn tất được mọi quá trình nay trên Ứng dụng thì MoMo là nổi bật nhất.

Đặt thức ăn không cần dùng tiền mặt

Từ ngày 11/6, khách hàng công ty đặt hàng đặt hàng thức ăn trực tuyến trên website hoặc ứng dụng điện thoại foodpanda sẽ có thể thanh toán qua hình thức thanh toán online mới – ATM.