ANM 11/6: Phát hiện hàng loạt chiến dịch mã độc ngụy trang bằng Covid-19
Ngày 11/6, đối tượng “Nuy” rao bán trên diễn đàn “raidforums” 2,8 triệu dữ liệu doanh nghiệp và 8,38 triệu dữ liệu công dân Việt Nam. Cụ thể, dữ liệu doanh nghiệp bao gồm tên bằng tiếng Việt và tiếng Anh, mã số thuế, địa chỉ bằng tiếng Việt và tiếng Anh, số đăng ký, đại diện pháp luật, lĩnh vực hoạt động… Dữ liệu công dân bao gồm họ tên, số chứng minh, ngày sinh, số điện thoại, địa chỉ… Đối tượng này để lại thông tin liên lạc là tài khoản Telegram “rzznuy”. Trước đó, vào ngày 16/04, đối tượng “lalala1a1a1a” từng rao bán gói dữ liệu này, cũng trên diễn đàn “raidforums”.
Các chuyên gia tại công ty an ninh mạng CyRadar (Việt Nam) vừa phát hiện 2 chiến dịch tấn công sử dụng email giả mạo có đính kèm tài liệu chứa mã độc, với tiêu đề và nội dung liên quan đến dịch Covid-19, vaccine Covid-19, nhắm mục tiêu vào người dùng Việt Nam. Cụ thể, 2 chiến dịch này sử dụng email lừa đảo đính kèm các tập tin tài liệu liên quan đến dịch Covid-19 gồm “Giam gia Dien dich Covid-19.docx” và “Covid-19-Vaccines.xlsm”. Khi người dùng mở tài liệu, mã độc sẽ xâm nhập vào máy tính, cho phép tin tặc điều khiển máy tính từ xa thông qua lệnh. Từ đó, tin tặc cũng có thể ra lệnh tải về máy nhiều mã độc khác, lấy trộm dữ liệu, mật khẩu, chụp ảnh màn hình… Hiện tại, theo ghi nhận của CyRadar, số trường hợp người dùng bị lừa tải và mở các tài liệu giả mạo liên quan đến dịch Covid-19 và vaccine Covid-19 không nhiều.
Ngày 10/6, hãng bảo mật Motherboard (Ireland) cho biết, tin tặc đã xâm nhập vào công ty game Electronic Arts (EA) và đánh cắp một số lượng lớn mã nguồn trò chơi và các công cụ nội bộ liên quan. Trong bài đăng trên các diễn đàn ngầm, tin tặc cho biết đã đánh cắp được 780 GB dữ liệu và đang rao bán chúng. EA xác nhận đã hứng chịu một vụ xâm phạm dữ liệu và cho biết đang tiến hành điều tra. Công ty này cũng khẳng định dữ liệu người chơi không bị xâm phạm đồng thời cho biết đã tiến hành các cải thiện bảo mật và không mong đợi vụ việc sẽ ảnh hưởng đến các trò chơi cũng như việc kinh doanh của hãng.
Ngày 10/6, Bộ Tư pháp Mỹ (DOJ) thông báo, một hoạt động đa quốc gia đã đánh sập Slillpp – thị trường trực tuyến lớn nhất về thông tin đăng nhập. Hoạt động có sự tham gia của các cơ quan thực thi pháp luật của Mỹ, Đức, Hà Lan và Romania. Slilpp, hoạt động từ năm 2021, được tội phạm mạng sử dụng để mua bán thông tin đăng nhập bị đánh cắp cho ngân hàng, thanh toán trực tuyến, bán lẻ và các tài khoản trực tuyến khác. Theo DOJ, các thông tin đăng nhập bị đánh cắp được bán qua Slillpp đã gây thiệt hại hàng trăm triệu USD cho các nạn nhân trên toàn cầu.
Cùng ngày, Tổng thống Mỹ Joe Biden và Thủ tướng Anh Boris Johnson đã nhất trí tăng cường hợp tác về an ninh để giúp hai nước ứng phó và đón đầu các mối đe dọa đang nổi lên của thế kỷ 21. Theo đó, hai nước sẽ hợp tác để củng cố và hiện đại hóa Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) hơn nữa, đồng thời tăng cường tài trợ chung để có thể khai thác đầy đủ các khả năng quân sự và phi quân sự để đối phó các mối đe dọa hiện có và mới nổi, bao gồm hoạt động mạng độc hại và các cuộc tấn công kiểm tra khả năng phục hồi của xã hội hai nước. Hai nước cũng nhất trí hợp tác với các công ty công nghệ để bảo vệ sự an toàn của công dân hai nước trong khi duy trì các tiêu chuẩn nghiêm ngặt về quyền riêng tư.
Trong một diễn biến khác, hãng công nghệ Samsung đang nỗ lực vá nhiều lỗ hổng ảnh hưởng đến các thiết bị di động của họ có thể được sử dụng để do thám hoặc chiếm quyền điều khiển thiết bị. Các lỗ hổng này được phát hiện và báo cáo bởi Sergey Toshin – người sáng lập công ty Oversecured – trong chương trình săn lỗi nhận thưởng của Samsung. Cụ thể, từ đầu năm 2021, Toshin đã phát hiện 17 lỗ hổng trên các thiết bị Samsung và nhận được 30.000 USD cho 14 lỗ hổng trong số này, 3 lỗ hổng còn lại đang chờ để được vá. Trong số này có các lỗ hổng trong các ứng dụng đã được cài đặt trước trên các thiết bị Samsung, cho phép kẻ tấn công truy cập và chỉnh sửa danh bạ, cuộc gọi, SMS/MMS của nạn nhân, cài đặt ứng dụng tùy ý với quyền quản trị viên, đọc và ghi các tập tin tùy ý với quyền người dùng hệ thống, có thể dẫn đến thay đổi cài đặt của thiết bị.
Ngày 10/6, hãng bảo mật Proofpoint công bố báo cáo cho biết, nhóm tống tiền từ chối dịch vụ (DDoS) chuyên giả mạo các nhóm APT khác nhau đã hoạt động trở lại với tên Fancy Lazarus, nhắm mục tiêu vào các tổ chức thuộc lĩnh vực năng lượng, tài chính, bảo hiểm, sản xuất, tiện ích công cộng và bán lẻ tại Mỹ. Tên mới của nhóm được kết hợp từ hai nhóm APT nổi tiếng là Fancy Bear (Nga) và Lazarus (Bắc Triều Tiên). Nhóm gửi email đến các tổ chức mục tiêu và yêu cầu chi trả một khoản tiền chuộc là 2 Bitcoin (khoảng 75.000 USD) nếu các công ty không muốn hứng chịu một vụ tấn công DDoS. Qua thời hạn được đưa ra, số tiền này sẽ tăng lên thành 4 Bitcoin và tăng lên 1 Bitcoin mỗi ngày sau đó. Một cảnh báo của Cục Điều tra Liên bang Mỹ (FBI) về nhóm này vào tháng 8/2020 cho biết, không phải lúc nào nhóm này cũng thật sự phát động một vụ tấn công DDoS nếu mục tiêu không trả tiền chuộc nhưng các nhà nghiên cứu lưu ý, một số tổ chức đã báo cáo về việc hoạt động của họ bị ảnh hưởng bởi các cuộc tấn công của nhóm này.
Trong một thông tin khác liên quan đến nhóm Fancy Bear, ngày 10/6, Security Affairs dẫn nguồn tin từ tờ báo Hà Lan Volkskrant cho biết, các tin tặc làm việc cho tình báo Nga đã xâm nhập vào mạng nội bộ của cảnh sát Hà Lan vào năm 2017 khi chính quyền nước này đang điều tra về vụ rơi máy bay MH-17. Cụ thể, vụ xâm nhập xảy ra vào tháng 09/2017 khi tin tặc Nga khai thác lỗ hổng trong một “phần mềm kỳ lạ” để xâm nhập vào máy chủ của Học viện Cảnh sát Hà Lan, rồi từ đó di chuyển sang mạng chính của cảnh sát Hà Lan. Cơ quan Tình báo Hà Lan (AIVD) đã phát hiện vụ việc khi nhận thấy một địa chỉ IP của cảnh sát Hà Lan giao tiếp với các máy chủ độc hại được điều hành bởi các tin tặc do chính phủ Nga bảo trợ. Theo các nguồn tin của Volkskrant, thủ phạm của vụ tấn công này là nhóm APT29 (hay Cozy Bear). Tuy nhiên, tờ báo này cũng không loại trừ sự liên quan của nhóm APT28, tức Fancy Bear.
Tại Các tiểu vương quốc Ả Rập Thống Nhất UAE, mạng truyền thông Al Jazeera (Qatar) cho biết họ đã bị tấn công mạng liên tục trong những ngày gần đây nhưng đã ngăn chặn được các cuộc tấn công này. Cụ thể, các trang web và nền tảng của Al Jazeera đã hứng chịu các cuộc tấn công điện tử liên tục nhằm truy cập, làm gián đoạn và kiểm soát một số nền tảng tin tức từ ngày 5/6 đến 8/6. Đỉnh điểm của các cuộc tấn công là vào ngày 6/6, trước khi kênh Youtube tiếng Ả Rập của Al Jazeera đăng tải một bộ phim tài liệu kể chi tiết về cuộc đàm phán gián tiếp giữa Israel và nhóm chiến binh Palestine – Hamas. Al Jazeera cho biết, các nhà cung cấp dịch vụ của họ đã có thể giám sát và ứng phó tất cả các cuộc tấn công và ngăn chúng đạt được mục đích.
Trong một bối cánh khác, ngày 10/6, các nhà nghiên cứu an ninh mạng tại CyberPeace Foundation (Ấn Độ) cho biết đã phát hiện một chiến dịch tấn công lừa đảo do tin tặc Trung Quốc tiến hành nhằm thu thập dữ liệu người dùng nước này. Cụ thể, các liên kết lừa đảo được gửi qua WhatsApp, tự xưng là ưu đãi quà tặng miễn phí từ Tata Motors nhưng lại được lưu trữ trên tên miền của bên thứ ba thay vì trang web chính thức của hãng xe hơi này, và có khả năng thu thập thông tin hệ thống và trình duyệt cũng như dữ liệu cookie từ người dùng. Tin tặc sử dụng các công nghệ Cloudflare để che giấu địa chỉ IP thật của các tên miền front-end được sử dụng trong chiến dịch. Tuy nhiên, trong quá trình điều tra, các nhà nghiên cứu đã xác định được một tên miền được yêu cầu ở nền (background) và đã được xác định là thuộc về Trung Quốc.
Trần Anh