First Post: Phát hiện chiến dịch gián điệp mạng Nga giả mạo hơn 100 trang web

19/11/2015 14:50

Trang First Post ngày 16/11/2015 đưa tin, hãng bảo mật FireEye vừa phát hiện một chiến dịch tấn công mạng quy mô lớn nhằm thu thập thông tin trên Internet. Theo đó, nhóm gián điệp đã tích lũy được một lượng lớn thông tin về lưu lượng truy cập web và khách ghé thăm của hơn 100 trang web (đã bị tin tặc  đoạt được quyền truy cập).

Chiến dịch này được cho là do Chính phủ Nga bảo trợ, có sử dụng các công cụ nguồn mở và phân tích web để thu thập thông tin về các mục tiêu và máy tính của họ để theo dõi, lập hồ sơ và lây nhiễm mã độc có chủ đích.

FireEye cho biết, nhóm gián điệp chuyên làm giả các trang web để chuyển hướng truy cập tới một trang web có chứa mã độc gọi là “WITCHCOVEN”.

Nhóm gián điệp chuyên làm giả các trang web để chuyển hướng truy cập tới một trang web có chứa mã độc gọi là “WITCHCOVEN”.
Nhóm gián điệp chuyên làm giả các trang web để chuyển hướng truy cập tới một trang web có chứa mã độc gọi là “WITCHCOVEN”.

Mã độc này này thu thập thông tin chi tiết máy tính của người sử dụng và cài đặt một công cụ theo dõi liên tục, được gọi là “supercookie”, có thể xác định hoạt động của máy tính của người sử dụng.

FireEye cho biết: “Chúng tôi cho rằng nhóm gián điệp phân tích các dữ liệu thu thập được để xác định người sử dụng và ghép với thông tin về máy tính của họ, sau đó triển khai phương thức khai thác phù hợp với phần mềm và cấu hình máy tính cụ thể của họ.”    

Trong trường hợp cụ thể này, nhóm gián điệp đã giả mạo hơn 100 trang web có chọn lọc, bao gồm cả các trang web của Ấn Độ.

Khi một người dùng truy cập vào một trong số hơn 100 trang web bị xâm nhập, một đoạn mã – được chèn trong HTML của trang web và vô hình đối với khách ghé thăm – lặng lẽ chuyển hướng trình duyệt của người dùng đến một trang web thứ hai bị xâm nhập mà nạn nhân không biết. Trang web thứ hai này lưu trữ đoạn mã WITCHCOVEN – trong đó sử dụng các kỹ thuật profiling (lập hồ sơ mã nguồn) để thu thập thông tin kỹ thuật trên máy tính của người dùng.

Tính đến đầu tháng 11/2015, FireEye xác định tổng số 14 trang web lưu trữ đoạn mã này. “Các trang web bị xâm nhập cho thấy nhóm gián điệp này đặc biệt quan tâm đến việc thu thập dữ liệu từ các lãnh đạo, nhà ngoại giao, quan chức chính phủ và quân nhân, đặc biệt là ở Mỹ và châu Âu. Những trang web bị tấn công bao gồm các công ty cung cấp dịch vụ visa và một số đại sứ quán tại Mỹ, nơi tập trung các quan chức chính phủ Mỹ hay giám đốc điều hành sẽ du lịch đến Nga, Trung Đông và Châu Phi”.

Lục Lam (dịch từ firstpost.ca)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video