Kaspersky Lab ra sức ngăn cản tấn công mạng phá hủy

Thứ sáu, 04/03/2016 23:24 PM - 0 Trả lời

Cùng với Novetta và những cộng sự trong ngành, Kaspersky Lab cho biết đã đóng góp rất nhiều trong Operation Blockbuster. Mục đích của sự hợp tác này là xóa sổ hoạt động của Lazarus – phần mềm cực kì độc hại chuyên phá hoại dữ liệu và thực hiện hoạt động gián điệp mạng tại vô số công ty trên toàn thế giới.

(CLO) Cùng với Novetta và những cộng sự trong ngành, Kaspersky Lab cho biết đã đóng góp rất nhiều trong Operation Blockbuster. Mục đích của sự hợp tác này là xóa sổ hoạt động của Lazarus – phần mềm cực kì độc hại chuyên phá hoại dữ liệu và thực hiện hoạt động gián điệp mạng tại vô số công ty trên toàn thế giới.

Những kẻ tấn công được cho là những kẻ đứng sau cuộc tấn công vào hãng Sony Pictures Entertainment năm 2014 và hoạt động DarkSeoul nhắm vào truyền thông và tổ chức tài chính năm 2013.

Sau cuộc tấn công vào công ty sản xuất phim nổi tiếng Sony Pictures Entertainment (SPE) diễn ra vào năm 2014, nhóm Nghiên cứu và Phân tích toàn cầu tại Kaspersky Lab (GReAT) bắt tay vào điều tra với mẫu phần mềm độc hại Destover được sử dụng công khai trong cuộc tấn công, dẫn đến cuộc nghiên cứu rộng hơn về những chiến dịch gián điệp và phá hoại mạng liên tiếp nhắm vào tổ chức tài chính, truyền thông, công ty sản xuất và nhiều tổ chức khác.

Dựa vào những đặc điểm thường thấy ở nhiều gia đình trojan khác nhau, các chuyên gia tại công ty đã nhóm hàng chục cuộc tấn công riêng lẻ lại và quả quyết rằng chúng đều thuộc về một mối đe dọa, điều này cũng được các thành viên Operation Blockbuster xác nhận trong phân tích của họ.

Lazarus đã hoạt động được nhiều năm trước vụ việc SPE xảy ra và có vẻ nó vẫn còn hoạt động đến bây giờ. Nghiên cứu từ Kaspersky Lab và những nghiên cứu khác của Operation Blockbuster đều xác nhận mối liên hệ giữa phần mềm độc hại được dùng trong nhiều chiến dịch, ví dụ chiến dịch DarkSeoul nhắm vào ngân hàng và đài phát thanh Seoul, chiến dịch Troy nhắm vào lực lượng vũ trang Hàn Quốc và vụ việc hãng Sony Pictures.

Trong quá trình điều tra, các nhà nghiên cứu tại Kaspersky Lab đã trao đổi những phát hiện sơ bộ với AlienVault Labs. Cuối cùng, các nhà nghiên cứu tại 2 công ty quyết định hợp sức điều tra. Đồng thời, nhiều công ty và chuyên gia bảo mật cũng điều tra hoạt động của Lazarus. Trong số những công ty này, Novetta đã đề xuất sáng kiến công bố rộng rãi thông tin về nhóm Lazarus. Là một thành viên của Operation Blockbuster, cũng với Novetta, AlienVault Labs và nhiều cộng sự trong nganh khác, Kaspersky Lab cũng công bố những phát hiện của mình vì lợi ích cộng đồng.

Bằng cách phân tích nhiều mẫu phần mềm độc hại được tìm thấy trong nhiều vụ việc an ninh mạng và thành lập phương pháp kiểm tra đặc biệt, Kaspersky Lab, AlienVault và các chuyên gia khác tại Operation Blockbuster đã xác định được nhiều cuộc tấn công do nhóm Lazarus tiến hành.

Mối liên hệ giữa nhiều vật mẫu và một nhóm người được tìm thấy trong khi điều tra phương pháp do nhóm người này thực hiện. Cụ thể, tin tặc tích cực sử dụng lại đoạn mã ngắn từ một chương trình độc hại này cho một chương trình độc hại khác.

Bên cạnh đó, các nhà nghiên cứu đã tìm thấy sự giống nhau trong cách hoạt động của tin tặc. Trong khi phân tích kết quả từ những cuộc tấn công khác nhau, họ nhận ra dropper – tập tin đặc biệt dùng để cài đặt nhiều biến thể khác nhau của một phần mềm độc hại – tất cả đều được khóa bằng mật khẩu được bảo vệ bằng bản sao file ZIP. Mật khẩu là giống nhau cho nhiều chiến dịch khác nhau và được mã hóa bên trong tập tin dropper đó. Mật khẩu bảo vệ được thiết lập nhằm ngăn chặn hệ thống tự động giải nén và phân tích tập tin nhưng thực tế việc này chỉ giúp các nhà nghiên cứu xác định danh tính băng nhóm.

Phương pháp đặc biệt được tội phạm sử dụng nhằm xóa dấu vết hoạt động trên hệ thống bị lây nhiễm cùng với thủ pháp lẩn trốn khỏi sản phẩm diệt virus cũng giúp các nhà nghiên cứu phát hiện nhiều cách tấn công liên quan nhau. Cuối cùng, hàng chục cuộc tấn công có chủ đích khác nhau với những kẻ tổ chức đã từng được cho là không xác định được danh tính chỉ thuộc về một mối đe dọa.

Phân tích thời gian của bộ mẫu thử cho thấy mẫu đầu tiên đã xuất hiện từ rất lâu vào năm 2009, 5 năm trước cuộc tấn công khét tiếng vào Sony. Số lượng mẫu thử mới tăng đáng kể từ năm 2010. Điều này cho thấy nhóm Lazarus là một mối đe dọa ổn định và đã có từ lâu. Dựa trên siêu dữ liệu được xuất ra từ mẫu thì phần lớn chương trình độc hại của Lazarus xuất hiện trong giờ làm việc tại vùng múi giờ GMT+8 – GMT+9.

Untitled-1

Juan Guerrero, nhà nghiên cứu bảo mật tại Kaspersky Lab cho biết: “Như chúng tôi đã dự đoán, số cuộc tấn công phá hủy vẫn tăng đều đặn. Loại phần mềm độc hại này đã chứng tỏ mình là một vũ khí mạng cực kì hữu dụng. Sức mạnh nhằm xóa sổ hàng ngàn máy tính chỉ bằng một phím đại diện cho món tiền thưởng đáng kể cho nhóm Khai thác mạng máy tính với nhiệm vụ tung tin giả và phá hoại công ty mục tiêu. Giá trị của nó như là một phần của chiến tranh tích hợp, nơi mà các cuộc tấn công phá hủy cùng với các cuộc tấn công làm tê liệt cơ sở hạ tầng của một quốc gia vẫn còn là một ý tưởng thử nghiệm thú vị gần với thực tế hơn điều mà chúng ta có thể thoải mái với nó. Cùng với các cộng sự, chúng tôi tự hào đặt một vết lõm trong các hoạt động của một kẻ vô đạo đức sẵn sàng lợi dụng những kỹ thuật tàn phá”.

Andre Ludwig, Giám đốc kỹ thuật, Tập đoàn Novetta chia sẻ: “Thông qua Through Operation Blockbuster, Novetta, Kaspersky Lab và các cộng sự của chúng tôi đã và đang cố gắng tìm ra phương pháp để xóa bỏ hoạt động của các nhóm tấn công trên toàn thế giới và nỗ lực để giảm thiểu tổn thất. Mức độ tỉ mẩn của kỹ thuật phân tích dùng trong Operation Blockbuster rất đáng quý, và việc chia sẻ phát hiện của chúng tôi với các đối tác trong ngành để tăng thêm sự hiểu biết thì lại càng đáng quý hơn”.

Ngoài ra, trang thông tin Securelist.com sẽ cho người dùng biết thêm về các phát hiện của Kaspersky Lab về nhóm Lazarus và trang www.OperationBlockbuster.com sẽ mang đến những thông tin về các phát hiện của Novetta về nhóm Lazarus.

HẢI NHÂN

Tin khác

Render OnePlus Nord CE 4 trước ngày ra mắt

Render OnePlus Nord CE 4 trước ngày ra mắt

(CLO) OnePlus dự kiến ra mắt chiếc điện thoại Nord CE 4 tại thị trường Ấn độ vào ngày 1 tháng 4 tới đây. Theo thông tin có được, Nord CE 4 trang bị màn hình 6,7 inch, pin 5.500mAh và hỗ trợ sạc nhanh SuperVOOC 100W.

Sức sống số
Hé lộ thông tin thiết kế flagship Sony Xperia 1 VI

Hé lộ thông tin thiết kế flagship Sony Xperia 1 VI

(CLO) Thời gian gần đây có nhiều tin đồn về thiết kế thay đổi của Sony Xperia 1 VI, cho rằng Sony sẽ loại bỏ màn hình 4K trên mẫu flagship Xperia 1 thế hệ tiếp theo, điều này sẽ xảy ra khi tỷ lệ khung hình thay đổi từ 21:9 thành 19.5:9.

Sức sống số
Xiaomi POCO C61 lộ diện thiết kế và thông số kỹ thuật ấn tượng

Xiaomi POCO C61 lộ diện thiết kế và thông số kỹ thuật ấn tượng

(CLO) Xiaomi mới đây đã trình làng chiếc điện thoại POCO C61 của họ, với trang bị màn hình có kích thước 6.71 inch, chip Helio G36 đến từ MediaTek, RAM 4GB/6GB, bộ nhớ trong 64GB/128GB.

Sức sống số
Apple phát hành macOS Sonoma 14.4.1 với bản sửa lỗi cho USB Hub

Apple phát hành macOS Sonoma 14.4.1 với bản sửa lỗi cho USB Hub

(CLO) Apple mới đây đã phát hành macOS Sonoma 14.4.1, một bản cập nhật nhỏ cho hệ điều hành macOS Sonoma‌ ra mắt lần đầu tiên vào tháng 9 năm ngoái. Được biết, phần mềm mới này xuất hiện sau khoảng 3 tuần kể từ khi Apple phát hành macOS Sonoma‌ 14.4.

Sức sống số
Samsung ra mắt máy tính bảng Galaxy Tab S6 Lite 2024

Samsung ra mắt máy tính bảng Galaxy Tab S6 Lite 2024

(CLO) Samsung mới đây bất ngờ ra mắt chiếc máy tính bảng tầm trung có tên gọi Galaxy Tab S6 Lite. Phiên bản này mang đến trải nghiệm tốt hơn cho người dùng, được trang bị chipset mới và pin 7040 mAh, chạy OneUI 6.1.

Sức sống số