Info Security: BlackEnergy không phải là thủ phạm tấn công các công ty điện Ukraine

25/01/2016 13:00

Trang Info Security 21/01 đưa tin, Robert Lipovsky – nhà nghiên cứu bảo mật của hãng ESET vừa đưa ra cảnh báo các hãng thông tấn không nên kết luận vội vàng mã độc BlackEnergy là thủ phạm gây ra các vụ tấn công nhằm vào các công ty năng lượng Ukraine ngày 19/01.

Giải thích được ông trình bày trong một bài viết blog, ám chỉ một chiến dịch tấn công vừa nhắm vào các công ty cung cấp điện của Ukraine sau vụ tấn công hồi Giáng sinh 2015.

Mã độc này tuy có những dấu hiệu của BlackEnergy - mã độc khét tiếng từng làm tê liệt nhà máy điện của Ukraine ngay ngày 23/12
Mã độc này tuy có những dấu hiệu của BlackEnergy – mã độc khét tiếng từng làm tê liệt nhà máy điện của Ukraine ngay ngày 23/12

Theo ông, mã độc này tuy có những dấu hiệu của BlackEnergy – mã độc khét tiếng từng làm tê liệt nhà máy điện của Ukraine ngay ngày 23/12, nhưng lại được xây dựng trên một cửa hậu tự do nguồn mở khác có sẵn (freely-available open-source backdoor).

Mối đe dọa này được phát tán qua email có đính kèm tập tin .XLS độc hại có chứa nội dung HTML với một đường dẫn đến một tập tin .PNG nằm trên một máy chủ từ xa.

“Tập tin XLS cho phép ẩn chứa macro độc hại này tương tự như những tập tin chúng tôi đã thấy trong làn sóng tấn công trước đó. Nó dùng kỹ thuật xã hội (social engineering) để đánh lừa người nhận lơ là với các cảnh báo an ninh được xây dựng cho Microsoft Office, theo đó vô tình giúp macro được thực thi”, Lipovsky giải thích.“Việc thưc thi macro dẫn đến sự xuất hiện của một trình tải trojan độc có nhiệm vụ tải về và thực thi cho mã (payload) cuối cùng từ một máy chủ từ xa”.

Máy chủ này được đặt tại Ukraine và hiện đang được cho ngừng hoạt động sau khi nhận được yêu cầu của CERT-UA và Cys-CERT.

Tuy nhiên, thay vì BlackEnergy, Lipovsky và nhóm của ông tìm thấy payload cuối cùng là những phiên bản được sửa đổi từ cửa hậu GCat – một mã nguồn mở được viết bằng Python.

 “Cửa hậu này có thể tải về các tập tin thực thi và các lệnh thực thi. Các chức năng khác của cửa hậu GCat, chẳng hạn như chụp màn hình, theo dõi bàn phím, hoặc tự tải tập tin lên, đã được gỡ bỏ trong mã nguồn”, ông nói. “Cửa hậu này được tin tặc điều khiển bằng một tài khoản Gmail, khiến cho nó không bị nghi ngờ khi di chuyển trong hệ thống mạng”.

Theo Lipovsky khuyến cáo nên cẩn trọng quy kết một tin tặc cụ thể nào, đặc biệt là một quốc gia cụ thể, mặc dù nhiều hãng truyền thông đã cho rằng Chính phủ Nga đứng sau các vụ tấn công.

 “Phát hiện này cho thấy cũng cần phải cân nhắc đến khả năng “cờ giả” (một hoạt động bí mật tiến hành bởi các chính phủ, các tập đoàn, hoặc các tổ chức, được thiết kế để xuất hiện như thể nó được thực hiện bởi các đơn vị khác)”, ông kết luận “Kết quả không giúp chúng ta tiến gần hơn đến việc tìm ra nguồn gốc của các cuộc tấn công ở Ukraine. Ngược lại, nó nhắc nhở chúng ta tránh đưa ra kết luận vội vàng”.

Lục Lam (dịch từ infosecurity-magazine.com)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video