+
Aa
-
Computer World: Phát hiện hoạt động tin tặc cải tiến mã độc lỗi thời Bifrose
15/12/2015 13:00

Computer World ngày 11/12/2015 đưa tin, hãng bảo mật Trend Micro vừa phát hành báo cáo về hoạt động của nhóm tin tặc Shrouded Crossbow sử dụng nhiều phiên bản nâng cấp mã độc Biftrose có từ năm 2004. Được biết, hoạt động đầu tiên của nhóm tin tặc từng nhắm đến các doanh nghiệp thuộc các ngành công nghiệp chủ chốt tại Châu Á.

Từ năm 2010 đến nay, nhóm này tập trung tấn công vào các tổ chức, nhà thầu chính phủ và các doanh nghiệp về lĩnh vực như tài chính, y tế, máy tính và điện tử tiêu dùng.

Hoạt động của nhóm này là một ví dụ cho thấy hoạt động gián điệp mạng không phải lúc nào cũng đòi hỏi đầu tư vốn lớn, nhiềumã độc day hoặc các chương trình mã độc mới lạ. Thay vào đó, các công cụ tấn công mạng lỗi thời cũng có thể được “thêm thắt” và cải thiện để cho ra các cuộc tấn công hiệu quả.

nhóm tin tặc Shrouded Crossbow sử dụng nhiều phiên bản nâng cấp mã độc Biftrose có từ năm 2004
nhóm tin tặc Shrouded Crossbow sử dụng nhiều phiên bản nâng cấp mã độc Biftrose có từ năm 2004

Bộ công cụ được nhóm này sử dụng bao gồm các cửa hậu như Kivar và Xbow, là các cửa hậu dựa trên hoặc lấy cảm hứng từ Bifrose, được phát hiện năm 2004 và từng được bán với giá 10.000 USD.

“Chúng tôi nghĩ rằng nhóm tin tặc đã mua mã nguồn của BIFROSE, sau khi cải thiện chức năng của nó, nhóm đã thiết kế một cách cài đặt mới, phát triển một bộ cài đặt cửa hậu độc đáo làm cho các cửa hậu đơn giản và hoạt động chính xác hơn”, các nhà nghiên cứu Trend Micro cho biết trong một bài viết blog.

Điều này cho phép nhóm này duy trì hiệu quả trong chiến dịch tấn công của chúng, mặc dù Bifrose là một mối đe dọa khá nổi tiếng và được hiểu rõ trong ngành công nghiệp chống virus cũng như rất dễ dàng bị phát hiện.

Theo một phát hiện thú vị của các nhà nghiên cứu thì nhóm này được chia ít nhất thành hai đội, nhưng có thể nhiều hơn.

Đội thứ nhất là đội lập trình, trong đó có ít nhất 10 người chuyên phát triển các phần mới cho cửa hậu. Số lượng người tham gia này được xác định nhờ vào chuỗi phiên bản được thiết kế với các ID của nhà phát triển liên quan.

Đội thứ hai chịu trách nhiệm lựa chọn mục tiêu, cấu hình các thông số phần mềm độc hại cho mỗi nạn nhân mục tiêu và tạo các email lừa đảo với tập tin đính kèm độc hại và giả mạo như báo cáo tin tức, hồ sơ, dữ liệu của chính phủ…

Đội thứ ba có thể phụ trách điều khiển cơ sở hạ tầng chỉ huy và kiểm soát rộng rãi của nhóm, bao gồm hơn 100 máy chủ có địa chỉ IP và tên miền được cập nhật một cách có tổ chức. Các tên miền mới luôn được đăng ký bất cứ khi nào, các nhà nghiên cứu Trend Micro cho biết.

Trung Nguyên (dịch từ computerworld.com)

Bài mới
Đọc nhiều