+
Aa
-
like
comment
Không gian mạng

ANM 28/6: Nghi vấn về tàu khu trục Anh liên quan một vụ tấn công mạng và làm giả số liệu

Trần Anh - 28/06/2021 18:00

Báo cáo toàn cảnh tấn công mạng nửa đầu năm 2021 tại Việt Nam của hãng bảo mật F-Secure (Phần Lan) cho thấy các tổ chức đang đối mặt với những nguy cơ bảo mật mạng nghiêm trọng như tấn công đánh cắp dữ liệu bằng mã độc tống tiền, khai thác thông tin bằng phần mềm và tấn công vào phần mềm trong chuỗi cung ứng.

Theo F-Secure, phương thức phát tán phần mềm độc hại phổ biến nhất là thư rác hoặc tài khoản email bị lấy cắp. Cứ 3 mail rác thì lại có một email có đính kèm tập tin mã độc, số còn lại chứa liên kết URL. Tập tin đính kèm thường hiển thị dưới dạng tài liệu chứa thông tin quan trọng, khi nhấp vào phần mềm mã độc sẽ được tải về và tự động chạy trên thiết bị của nạn nhân. Các mã độc phổ biến nhất tại Việt Nam trong nửa đầu năm 2021 là Shadowbroker, Equation, Expkit, Agent…

Trong một diễn biến khác, vụ việc tàu khu trục HMS Defender của Hải quân Anh đi vào vùng biển của Nga ngoài khơi bán đảo Crimea trên Biển Đen bị nghi ngờ có liên quan đến một cuộc tấn công mạng và giả số liệu Hệ thống Nhận dạng Tự động AIS. Cụ thể, theo trang New Scientist, tuần trước, tín hiệu AIS cho thấy cả tàu chiến Defender của Anh và tàu Evertsen của Hải quân Hà Lan đang đến cách căn cứ hải quân Nga ở Sevastopol, Tây Nam Crimea vài km, nhưng một nguồn cấp dữ liệu camera trực tiếp xác nhận cả hai đã được cập cảng ở Odessa, Ukraine, vào thời điểm đó. Sự giả mạo trong trường hợp trên cho thấy một sự lừa dối có chủ ý, vì tọa độ của các con tàu đã được thay đổi dần dần để mô phỏng hành trình bình thường. Chuyên gia Dana Goward tại Resilient Navigation and Timing Foundation cho biết, Nga có thể đã thực hiện vụ tấn công giả mạo dữ liệu, và cảnh báo, một vụ tấn công như vậy có thể dễ dàng dẫn đến một cuộc nổ súng bằng cách làm cho mọi thứ trong một cuộc khủng hoảng trở nên rối rắm hơn.

Vụ tàu khu trục HMS Defender của Hải quân Anh đi vào vùng biển của Nga bị nghi ngờ có liên quan đến một cuộc tấn công mạng và giả số liệu Hệ thống Nhận dạng Tự động AIS.
Vụ tàu khu trục HMS Defender của Hải quân Anh đi vào vùng biển của Nga bị nghi ngờ có liên quan đến một cuộc tấn công mạng và giả số liệu Hệ thống Nhận dạng Tự động AIS.

Tại Mỹ, công ty Mercedes-Benz Mỹ vừa tiết lộ một vụ xâm phạm dữ liệu ảnh hưởng đến một số khách hàng của hãng. Vụ việc ảnh hưởng đến một số khách hàng và những người mua xe tiềm năng đã nhập thông tin trên trang web của đại lý và công ty Mercedes-Benz từ năm 2014 – 2017. Thông tin bị rò rỉ bao gồm điểm tín dụng do khách hàng tự báo cáo, số giấy phép lái xe, số an sinh xã hội, số thẻ tín dụng và ngày sinh. Nguyên nhân của vụ việc là do phiên bản lưu trữ đám mây không được bảo mật đầy đủ. Không có hệ thống nào của Mercedes-Benz bị xâm phạm do sự cố này.

Mercedes-Benz Mỹ vừa tiết lộ một vụ xâm phạm dữ liệu ảnh hưởng đến một số khách hàng của hãng.
Mercedes-Benz Mỹ vừa tiết lộ một vụ xâm phạm dữ liệu ảnh hưởng đến một số khách hàng của hãng.

Microsoft cho biết tin tặc đã tiếp cận thành công một trong các bộ phận dịch vụ khách hàng của hãng và sử dụng thông tin từ đây để tiến hành các âm mưu tấn công khách hàng. Công ty đã phát hiện vụ việc khi điều tra về Nobelium – nhóm tin tặc mà hãng cho là đã thực hiện vụ tấn công vào SolarWinds năm 2020. Ngay lập tức Microsoft đã nâng cao bảo mật máy tính bị tin tặc tấn công và nhanh chóng thông báo cho “một số lượng nhỏ” khách hàng bị ảnh hưởng, cho biết tin tặc đã truy cập vào thông tin của họ trong nửa cuối tháng 5/2021. Dữ liệu bị đánh cắp bao gồm thông tin cá nhân người dùng và những dịch vụ mà khách hàng thanh toán. Tin tặc có thể sử dụng dữ liệu cơ bản như vậy trong các cuộc tấn công lừa đảo để truy cập vào những thông tin nhạy cảm hơn.

Microsoft đồng thời cũng xác nhận đã vô tình ký một trình điều khiển độc hại đang được phân phối trong các môi trường game. Cụ thể, trình điều khiển này có tên “Netfilter” thực chất là một rootkit được quan sát thấy giao tiếp với các địa chỉ IP điều khiển và kiểm soát (C&C) của Trung Quốc. Vụ việc được phát hiện bởi nhà phân tích mã độc Karsten Hahn tại G Data. Microsoft đang tiến hành điều tra vụ việc nhưng không có bằng chứng cho thấy chứng chỉ ký mã bị đánh cắp đã được sử dụng. Sự cố này có vẻ là do tin tặc đã làm theo quy trình của Microsoft để gửi trình điều khiển độc hại và có được binary được ký bởi Microsoft theo cách hợp pháp. Theo Microsoft, tin tặc chủ yếu sử dụng trình độc hại này để nhắm mục tiêu vào lĩnh vực game tại Trung Quốc và không có dấu hiệu cho thấy môi trường doanh nghiệp bị ảnh hưởng.

Hãng bảo mật Avast (CH Czech) cho biết tội phạm mạng muốn làm giàu từ tiền điện tử đang nhắm mục tiêu vào game thủ bằng mã độc “Crackonosh” – được ẩn trong các phiên bản miễn phí của các trò chơi như NBA 2K19, Grand Theft Auto V, Far Cry 5, The Sims 4 và Jurassic World Evolution, có sẵn để tải xuống trên các trang web torrent. Sau khi được cài đặt, Crackonosh sẽ âm thầm sử dụng sức mạnh xử lý của máy tính để khai thác tiền điện tử cho tin tặc. Ít nhất từ tháng 06/2018, phần mềm độc hại này đã được sử dụng để kiếm về số tiền điện tử Moreno trị giá 2 triệu USD. Avast cho biết có khoảng 220.000 người dùng trên thế giới đã bị nhiễm virus và 800 thiết bị đang bị nhiễm virus mỗi ngày. Brazil, Ấn Độ và Philippines là những quốc gia bị ảnh hưởng nặng nề nhất.

Trong một diễn biến khác, công ty thiết bị mạng Đài Loan Zyxel đã cảnh báo khách hàng về một cuộc tấn công mạng nhằm vào một số sản phẩm bảo mật của họ như tường lửa và máy chủ VPN. Theo Zyxel, cuộc tấn công có thể do một kẻ “cao tay” thực hiện, nhắm vào các thiết bị có tính năng quản lý từ xa hoặc mở kết nối SSL VPN và đều có khả năng truy cập công khai qua Internet. Hiện vẫn chưa rõ liệu tin tặc có đang khai thác các lỗ hổng đã biết trước đây trong các thiết bị Zyxel hay tận dụng lỗ hổng zero-day để xâm nhập vào hệ thống. Các chuyên gia vẫn đang cố gắng xác định quy mô của cuộc tấn công và số lượng người dùng bị ảnh hưởng.

Liên quan đến các hoạt động gián điệp mạng tại bán đảo Triều Tiên, vừa qua, công ty an ninh mạng ESTsecurity (Hàn Quốc) cho biết, các nhóm tin tặc liên quan đến Bắc Triều Tiên đã tiến hành các cuộc tấn công mạng bằng cách sử dụng các địa chỉ email bị thao tác để trông giống email từ chính phủ Hàn Quốc nhằm đánh cắp thông tin người dùng. Cụ thể, ESTsecurity đã quan sát thấy tin tặc sử dụng các địa chỉ email trông giống như đến từ Bộ Thống nhất và Viện Thống nhất Quốc gia Hàn Quốc, có chứa liên kết đến các tài liệu dường như là báo cáo chính thức của chính phủ. Khi người dùng nhấp vào liên kết, họ sẽ được yêu cầu nhập mật khẩu email, cho phép tin tặc đánh cắp thông tin nhạy cảm. ESTsecurity nghi ngờ hai nhóm Thallium và Kimsuky là thủ phạm nhưng không nêu chi tiết về mục tiêu của vụ tấn công này.

Các nhóm tin tặc liên quan đến Bắc Triều Tiên đã tiến hành các cuộc tấn công mạng bằng cách sử dụng các địa chỉ email bị thao tác để trông giống email từ chính phủ Hàn Quốc nhằm đánh cắp thông tin người dùng.
Các nhóm tin tặc liên quan đến Bắc Triều Tiên đã tiến hành các cuộc tấn công mạng bằng cách sử dụng các địa chỉ email bị thao tác để trông giống email từ chính phủ Hàn Quốc nhằm đánh cắp thông tin người dùng.

Trần Anh

Bài mới
Đọc nhiều