Nhóm Nghiên cứu và Phân tích Toàn cầu Kaspersky Lab (GReAT) vừa phát hiện những cuộc tấn công mới từ nhóm Sofacy, trong đó sử dụng nhiều kỹ xảo tiên tiến được thiết kế để phục vụ tấn công lâu dài và hoạt động ẩn danh nguy hiểm hơn trên hệ thống mục tiêu.
Sofacy được biết với những cái tên “Fancy Bear”, “Sednit”, “STRONTIUM” và “APT28 – là mối đe dọa cấp cao đến từ Nga hoạt động ít nhất từ năm 2008, phần lớn nhắm vào tổ chức quân đội và chính phủ trên toàn thế giới. Kể từ khi bị phát hiện vào năm 2014, nhóm này chưa từng dừng lại, thậm chí các chuyên gia Kaspersky Lab vừa phát hiện nhiều công cụ mới và cao cấp hơn trong kho vũ khí tấn công của Sofacy.
Bộ công cụ mới này bao gồm 3 chức năng. Thứ nhất là Có thể hoán đổi cho nhau – kẻ tấn công sử dụng hàng loạt công cụ ngầm để lây nhiễm một mục tiêu với nhiều công cụ độc hại khác nhau, một trong số đó hoạt động như một công cụ tái nhiễm khi một công cụ khác bị giải pháp an ninh chặn lại hoặc xóa sổ). Thứ hai là Có thể tách rời được – kẻ tấn công dùng đơn bộ hóa phần mềm độc hại, thêm nhiều tính năng của công cụ ngầm vào những module riêng biệt nhằm ẩn mình tốt hơn trong hệ thống bị tấn công. Kaspersky Lab nhận thấy đây là xu hướng ngày càng phổ biến trong những cuộc tấn công có mục tiêu. Và thứ ba là Hệ thống air-gapped – trong nhiều cuộc tấn công gần đây, nhóm Sofacy đã sử dụng phiên bản lây nhiễm đánh cắp từ USB, cho phép chúng sao chép dữ liệu từ máy tính trong hệ thống air-gapped.
Cách thức hoạt động của bộ công cụ này rất tinh vi – các chuyên gia bảo mật Kaspersky cho hay. Trong năm 2015 – một tổ chức trong ngành quốc phòng bị tấn công bởi một phiên bản của AZZY (một loại trojan thường được Sofacy sử dụng để thâm nhập vào thiết bị và tải xuống nhiều công cụ độc hại bổ sung), và sản phẩm của Kaspersky Lab đã chặn phần mềm độc hại này. Nhưng chỉ 1 tiếng đồng hồ sau khi chặn trojan này, một phiên bản khác của nó được kẻ tấn công tạo ra và cài vào máy tính mục tiêu. Phiên bản này trốn công nghệ AV thông thường, nhưng vẫn bị phát hiện bởi hệ thống phụ phòng chống xâm nhập máy chủ (HIPS).
Lối tấn công nhanh chóng, đều đặn của Sofacy đã khiến các chuyên gia Kaspersky Lab chú ý và họ bắt đầu điều tra sâu hơn. Họ đã phát hiện ra phiên bản mới của trojan được tải xuống không thông qua khai thác zero-day (đây được xem là thói quen của Sofacy) mà bằng công cụ lây nhiễm khác (được đặt tên là “msdeltemp.dll”). Trojan “msdeltemp.dll” là công cụ download cho phép tin tặc gửi lệnh và lấy dữ liệu từ máy bị lây nhiễm, cũng được dùng để tải trojan tinh vi hơn vào hệ thống. Nếu trojan thứ yếu bị phần mềm an ninh chặn lại, tin tặc vẫn có thể sử dụng trojan msdeltemp.dll để lấy phiên bản mới từ C&C và cài đặt lại trên máy bị tấn công.
Thủ thuật này không mới và Sofacy cũng đã sử dụng tước đây, tuy nhiên điểm mới lạ là chúng sử dụng dropper để cài đặt 2 trojan SPLM và AZZY. Nếu 1 trong 2 bị phát hiện thì trojan còn lại vẫn giúp kẻ tấn công có quyền tiếp tục truy cập. Trong những đợt tấn công mới, phương thức của chúng đã thay đổi: chúng sẽ tải xuống phiên bản mới của AZZY để thay thế cho phiên bản bị chặn mà không cần phải thực hiện toàn bộ quá trình lây nhiễm như ban đầu. Tách chức năng liên lạc của C&C khỏi trojan chính cũng là cách giảm sự chú ý đến nó, vì nó không trực tiếp truyền dữ liệu ra ngoài máy tính bị tấn công.
Bên cạnh việc thay đổi phương thức phục hồi, các chuyên gia Kaspersky Lab còn phát hiện nhiều phiên bản module USB dùng để đánh cắp của Sofacy giúp lấy dữ liệu từ mạng air-gapped. Module USBSTEALER được thiết kế tùy thuộc vào quy luật mà kẻ tấn công đưa vào để theo dõi ổ đĩa di động và lấy file từ chúng. Dữ liệu bị đánh cắp được sao chép vào thư mục ẩn, sau đó kẻ tấn công sẽ lấy ra nhờ các phiên bản của AZZY.
Costin Raiu, Giám đốc GReAT Team, Kaspersky Lab cho biết thêm, thông thường khi ai đó công bố nghiên cứu về một nhóm gián điệp mạng, chúng sẽ phản ứng lại bằng cách dừng lại hoặc thay đổi phương thức và chiến thuật. Nhưng với Sofacy thì không phải lúc nào cũng như vậy. Trong năm 2015, hoạt động của Sofacy đã tăng lên đáng kể dù bị cộng đồng bảo mật phát hiện, chúng thực hiện không dưới 5 zero-day. Các cuộc tấn công này vì vậy vẫn sẽ còn tiếp diễn.
Hiện tại, các sản phẩm của Kaspersky Lab phát hiện một số mẫu phần mềm độc hại mới được Sofacy sử dụng với những cái tên sau: Trojan.Win32.Sofacy.al, Trojan.Win32.Sofacy.be, Trojan.Win32.Sofacy.bf, Trojan.Win32.Sofacy.bg, Trojan.Win32.Sofacy.bi, Trojan.Win32.Sofacy.bj, Trojan.Win64.Sofacy.q, Trojan.Win64.Sofacy.s, HEUR:Trojan.Win32.Generic.
Để bảo vệ tổ chức trước các cuộc tấn công tinh vi có chủ đích, kể cả các hiểm họa từ Sofacy, Kaspersky Lab khuyến nghị khách hàng nên sử dụng phương pháp đa tầng có kết hợp của công nghệ truyền thống chống phần mềm độc hại, quản lý bản vá lỗi, phát hiện xâm nhập máy chủ, chiến lược whilelist và chặn mặc định.
Ô Lâu
Từ ngày 16/12/2015 đến ngày 20/12/2015, Triển lãm Quốc tế Bất động sản Việt Nam – VIETBUILD HOME 2015 với chủ đề Nhà ở – Trang trí nội ngoại thất & Đồ dùng gia đình được diễn ra tại Trung Tâm Hội chợ và Triển lãm Sài Gòn (SECC) TPHCM, với quy mô lớn. Sự kiện đón đầu mùa Noel và năm mới 2016, tạo điều kiện mua sắm, trang trí nhà ở nhân dịp cuối năm.
Schneider Electric lần thứ 6 được bình chọn có thiết bị cấp nguồn liên tục (UPS) xuất sắc nhất trong khuôn khổ Hội nghị thượng đỉnh CIO & CSO 2015.
Nhân dịp cán mốc 1,5 triệu chiếc ZenFone được bán ra tại Việt Nam, ASUS tổ chức chương trình khuyến mãi giảm giá cho hai phiên bản ZenFone 2 Laser, bắt đầu áp dụng từ ngày 9/12/2015 với số lượng giới hạn.
Theo nhận định của hãng Emerson, các công nghệ trung tâm dữ liệu đang phát triển với tốc độ rất nhanh, khách hàng tại châu Á rất quan tâm đầu tư nâng cấp cơ sở hạ tầng hiện tại và thúc đẩy đổi mới để cung cấp được nhiều dịch vụ giá trị gia tăng. Qua đó, hãng đã đưa ra 5 xu thế đáng chú ý của trung tâm dữ liệu năm 2016.
Vienammm.com đã mua lại doanh nghiệp Foodpanda tại Việt Nam sau khi foodpanda định đóng cửa và chấm dứt tất cả hoạt động với các nhà hàng đối tác. Việc mua lại này này sẽ đảm bảo danh sách các nhà hàng cộng tác cũng như các khách hàng đặt thức ăn trực tuyến qua foodpanda vẫn tiếp tục hoạt động bình thường.
Ngày 7/12/2015, Phòng thực nghiệm giao dịch tài chính mô phỏng theo phòng giao dịch chứng khoán thực tế đã chính thức khánh thành tại đại học RMIT Việt Nam.
Với mục tiêu mang lại cho khách hàng là các chủ shop online nhiều cơ hội bán hàng hơn, đồng thời tạo ra những trải nghiệm thú vị cho người mua, ngày 8/12/2015, Bizweb và Sendo đã chính thức bắt tay hợp tác hoàn thiện quy trình khép kín kẻ bán – người mua trong lĩnh vực TMĐT.
Từ ngày 08/12/2015 các thuê bao di động trả trước của VinaPhone có thể cho hoặc tặng các gói Data không giới hạn (MAX, MAX100, MAX200, MAX300) cho các thuê bao di động khác.
Theo báo cáo của hãng bảo mật ESET về Nhận thức an ninh mạng tại Việt Nam 2015, 87% người dùng trên cả nước lo lắng về các nguy cơ trực tuyến, chỉ 32% có các biện pháp bảo vệ. Đây là tỷ lệ thấp nhất khu vực châu Á Thái Bình Dương, trong 6 quốc gia mà ESET thực hiện khảo sát.
Từ ngày 10 đến 13/12/2015, Công ty Phương Nam Phim sẽ tổ chức Hội chợ băng đĩa Phương Nam lần thứ 13 tại Cung Văn hóa Lao Động, TPHCM với nhiều chương trình khuyến mãi, giảm giá, trong đó có những CD gốc chất lượng cao được bán chỉ 2.000 đồng.