Cách hoạt động của Dropping Elephant (còn được biết đến với tên Chinastrats) không đến mức tinh vi, bởi những kẻ tấn công phụ thuộc nhiều vào kỹ thuật xã hội, công cụ và lỗ hổng với chi phí thấp, tuy nhiên phương pháp này lại tỏ ra hiệu quả và nguy hiểm. Từ tháng 11/2015 đến tháng 6/2016, nhóm đã lên hồ sơ hàng trăm và hàng ngàn mục tiêu trên khắp thế giới. Chỉ trong 2 tháng đầu hoạt động, chúng đã có thể đánh cắp tài liệu từ nhiều nạn nhân đã được lựa chọn.
Tháng 2/2016, sau khi nhận được cảnh báo từ một đối tác, nhóm Phân tích và Nghiên cứu Toàn cầu Kaspersky Lab đã tiến hành một cuộc điều tra Dropping Elephant. Sự việc trở nên sáng tỏ khi một mối đe dọa có thể xuất phát từ Ấn Độ đang tiến hành hoạt động gián điệp mạng ồ ạt vào khu vực châu Á, nhắm tới vô số tổ chức chính phủ và ngoại giao với sự tập trung đặc biệt vào Trung Quốc và hoạt động quốc tế của nước này. Chỉ sử dụng lỗ hổng cũ, công cụ không đáng chú ý trong cuộc tấn công, mối đe dọa này cũng đã thử vận may của mình trong việc tấn công các mục tiêu cấp cao bao gồm nhiều quốc gia châu Âu.
Theo đánh giá của nhóm nghiên cứu Kaspersky Lab, công cụ tấn công Dropping Elephant rất đơn giản nhưng hiệu quả. Để lên danh sách nạn nhân, đầu tiên Dropping Elephant gửi mail hàng loạt đến một số địa chỉ chúng thu thập được dựa trên sự liên quan đến mục tiêu của chúng. Những email lừa đảo do kẻ tấn công gửi đi chứa danh mục liên quan đến nội dung tách biệt – nó không được đính kèm trong email mà được tải xuống từ một nguồn bên ngoài. Email không chứa nội dung độc hại nào ngoại trừ âm thanh “ping” được gửi tới máy chủ kẻ tấn công nếu nạn nhân mở mail. Sau đó tin nhắn có chứa thông tin cơ bản về người nhận sẽ được tự động gửi đi: địa chỉ IP, loại trình duyệt, thiết bị sử dụng và cả vị trí.
Sau khi dùng biện pháp đơn giản này để lọc ra những nạn nhân có giá trị nhất, những kẻ tấn công tiến hành email lừa đảo khác, chuyên sâu hơn. Có thể là tập tin Word với lỗ hổng CVE-2012-0158 hoặc silde PowerPoint với lỗ hổng CVE-2014-6352 trong Microsoft Office. Cả 2 lỗ hổng đều phổ biến nhưng vẫn rất hiệu quả. Nhiều nạn nhân bị nhắm tới bằng cuộc tấn công watering hole: họ nhận được liên kết dẫn đến website giả mạo cổng thông tin chính trị, tập trung vào hoạt động bên ngoài của Trung Quốc. Phần lớn những liên kết trên website này dẫn đến nội dung khác dưới dạng tập tin PPS (tập tin PowerPoint) chứa nội dung độc hại.
Mặc dù những lỗ hổng được sử dụng trong các cuộc tấn công đều đã được Microsoft vá lỗi, nhưng những kẻ tấn công vẫn có thể dựa trên phương pháp kỹ thuật xã hội để tổn hại nạn nhân nếu họ lờ đi nhiều cảnh báo bảo mật hiện ra và mở những chức năng độc hại trong tập tin. Nội dung của tập tin PPS độc hại được chọn lọc cẩn thận dựa trên nhiều bài báo về những vấn đề được bàn luận rộng rãi như chủ đề địa chính trị, khiến tập tin trông đáng tin cậy và có khả năng được mở ra nhiều hơn. Việc này khiến nhiều người dùng bị lây nhiễm.
Khi khai thác lỗ hổng thành công, một loạt công cụ độc hại được cài đặt trên máy tính nạn nhân. Tiếp đến, các công cụ này thu thập và gửi về kẻ tấn công những loại thông tin sau: tập tin Word, bảng tính Excel, tập tin trình chiếu PowerPoint, tập tin PDF, thông tin đăng nhập lưu trên trình duyệt, v.v…
Bên cạnh tấn công kỹ thuật xã hội và khai thác lỗ hổng cũ, một trong những backdoor của Dropping Elephant sử dụng phương thức liên lạc C&C mượn từ mối đe dọa khác: chúng giấu địa chỉ thực của máy chủ C&C dưới dạng bình luận ở các bài viết trên những website hợp pháp phổ biến. Mặc dù với cách thực hiện phức tạp hơn nhưng phương pháp này trước đây đã từng được thấy trong hoạt động của Miniduke và nhiều nhóm tội phạm khác. Nó được sử dụng để việc điều tra tấn công phức tạp hơn.
Dựa trên hồ sơ nạn nhân do các nhà nghiên cứu Kaspersky Lab lập ra, Dropping Elephant tập trung vào 2 loại tổ chức và cá nhân chính. Đó là tổ chức chính phủ và ngoại giao Trung Quốc, và những cá nhân có liên quan cũng như đối tác của những tổ chức này tại những quốc gia khác. Nhìn chung, các chuyên gia Kaspersky Lab đã phát hiện vài trăm nạn nhân trên toàn thế giới, phần lớn tập trung ở Trung Quốc, số khác đến từ, hoặc liên quan đến Pakistan, Sri-Lanka, Uruguay, Bangladesh, Đài Loan, Úc, Hoa Kỳ và một số quốc gia khác.
Vitaly Kamluk, Giám đốc Trung tâm Nghiên cứu tại APAC, GReAT, Kaspersky Lab cảnh báo, dù sử dụng công cụ và lỗ hổng đơn giản, ít tốn kém, nhóm này dường như có khả năng lấy được thông tin tình báo đáng giá, đây có thể là lý do vì sao nhóm vẫn mở rộng hoạt động vào tháng 5/2016. Việc mở rộng cũng cho thấy chúng không có ý định kết thúc hoạt động sớm. Tổ chức và cá nhân phù hợp với hồ sơ mục tiêu của chúng nên đặc biệt cẩn trọng. May là nhóm chưa sử dụng công cụ thực sự phức tạp, khó phát hiện ra. Việc này có nghĩa là hoạt động của chúng rất dễ nhận ra. Tất nhiên vẫn có thể thay đổi bất cứ lúc nào.
Để tự bảo vệ mình và tổ chức trước nhóm gián điệp mạng như Dropping Elephant, các chuyên gia bảo mật Kaspersky Lab khuyên nên tuân theo nguyên tắc bảo mật cơ bản của Internet, không mở đính kèm trong mail từ người gửi không rõ ràng và thường xuyên cập nhật phần mềm trên PC. Sử dụng giải pháp bảo mật đã được kiểm chứng có khả năng chống lại mối đe dọa mạng tinh vi nhất. Luôn nhớ rằng những gì trông giống như tập tin hợp pháp có thể là giai đoạn đầu trong cuộc tấn công vào công ty của bạn. Đối với những tổ chức lớn, sử dụng giải pháp chống tấn công có chủ đích, có khả năng phát hiện những bất thường nguy hiểm trong mạng lưới nội bộ trước khi phần mềm độc hại được cài đặt và dữ liệu bị đánh cắp. Cách tốt nhất để có sự bảo vệ kịp thời là theo dõi hoạt động của kẻ thực hiện tấn công có chủ đích. Sử dụng dịch vụ tình báo mối đe dọa để đảm bảo rằng bạn luôn biết những thủ pháp kẻ tấn công sử dụng và biện pháp bảo vệ để vô hiệu hóa những thủ pháp này.
Ô Lâu
Máy kiểm tra chất lượng không khí di động AirQ Check Air Quality Mobile Health, là sản phẩm của Kingmax thu hút nhiều quan tâm tại Computex 2016 vừa qua sẽ được bán lẻ trong tháng 7 này, với mức giá đề xuất 59 USD.
Dịch vụ hỗ trợ Microsoft Service Premier cung cấp hỗ trợ quản lý vận hành toàn diện cho hệ thống CNTT của khách hàng với đầy đủ danh mục sản phẩm, dịch vụ cũng như giải pháp của Microsoft.
Công nghệ độc quyền Dual space (vùng dữ liệu kép) của Coolpad là giải pháp bảo mật cao giúp người dùng tránh khỏi những những đôi tay “tọc mạch” trên smartphone cá nhân vốn đang là nan đề bảo mật.
Nhằm đa dạng thêm kênh thanh toán, ứng dụng đặt xe Grab vừa chính thức ra mắt tính năng GrabPay giúp khách hàng thanh toán cước phí chuyến đi thông qua thẻ thanh toán quốc tế tại Việt Nam.
Facebook vừa công bố các giải pháp mới dành cho doanh nghiệp giúp điều hướng người dùng tới cửa hàng, đo lường lượng khách tại cửa hàng cũng như doanh thu tại điểm bán sau khi thực hiện các chiến dịch quảng cáo di động với họ.
Với việc bố trí, dàn dựng công phu, triển lãm Systems Solutions Day đã mang đến cho khách tham quan những trải nghiệm thú vị từ các giải pháp công nghệ an ninh hiện đại nhất của Bộ phận Hệ thống An ninh Bosch.
Qualcomm đã công bố Nền tảng Tham chiếu cho Ô tô Kết nối vào hôm nay. Nền tảng tích hợp các công nghệ kết nối không dây bao gồm 3G/4G LTE, GNSS, Wi-Fi®, DSRC, và Bluetooth®; có thể mở rộng để hỗ trợ V2X di động và 5G.
eDoctor, ứng dụng hỏi đáp bác sĩ đầu tiên của người Việt, cho phép tư vấn qua tin nhắn và gọi điện 24/7 đến hàng trăm bác sĩ chuyên khoa hàng đầu tại TPHCM và Hà Nội đã gửi tặng bạn đọc 2.000 mã trải nghiệm với 20.000 đồng trong tài khoản.
eDoctor, ứng dụng hỏi đáp bác sĩ đầu tiên của người Việt, đã ra mắt tính năng mới giúp người dùng dễ dàng gọi thoại trực tiếp cho bác sĩ mọi lúc mọi nơi 24/7 thông qua internet.
Công ty Điện tử Samsung Vina phối hợp cùng Opera Max lần đầu tiên giới thiệu tại thị trường Việt Nam chế độ UDS dành riêng cho dòng smartphone Samsung Galaxy J5 và Galaxy J7 (phiên bản 2016), giúp tiết kiệm 50% dung lượng data của di động.