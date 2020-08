Phần mềm độc hại đã được sử dụng trong một loạt các cuộc tấn công nhắm vào lĩnh vực quốc phòng và hàng không vũ trụ của Mỹ.

Ngày 19/8, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã công bố một cảnh báo bảo mật có chứa thông tin chi tiết về một loại phần mềm độc hại mới được các tin tặc Triều Tiên triển khai trong năm nay.

Các nguồn tin trong cộng đồng an toàn thông tin cho biết, phần mềm độc hại mới này đã được phát hiện trong các cuộc tấn công nhắm mục tiêu vào Mỹ và các công ty nước ngoài hoạt động trong lĩnh vực hàng không và quốc phòng, với các cuộc tấn công được ghi lại trong các báo cáo từ công ty phần mềm an ninh McAfee (Chiến dịch North Star) và công ty an ninh mạng ClearSky (Chiến dịch DreamJob).

Các cuộc tấn công cũng diễn ra theo mô hình tương tự, với các tin tặc Triều Tiên đóng giả là người tuyển dụng tại các tập đoàn lớn để tiếp cận nhân viên tại các công ty mà họ mong muốn tiếp cận.

Các nhân viên được nhắm mục tiêu được yêu cầu trải qua một quá trình phỏng vấn, trong đó họ thường nhận được các tài liệu Office hoặc PDF độc hại mà tin tặc Triều Tiên sẽ sử dụng để triển khai phần mềm độc hại trên máy tính của nạn nhân.

Trọng tâm cuối cùng trong các cuộc tấn công này là tâm điểm của cảnh báo mà CISA đưa ra vào ngày 19/8 vừa qua, trong đó đã phát hiện một phần mềm độc hại được truy cập từ xa (RAT) mà CISA gọi là BLINDINGCAN.

Các chuyên gia của CISA cho biết, tin tặc Triều Tiên đã sử dụng phần mềm độc hại này để truy cập vào hệ thống của nạn nhân, thực hiện việc do thám và sau đó thu thập các thông tin tình báo xung quanh các công nghệ quân sự và năng lượng quan trọng.

Điều này có thể xảy ra do BLINDINGCAN có nhiều khả năng kỹ thuật bao gồm truy xuất thông tin về tất cả các đĩa đã cài đặt, bao gồm loại đĩa và dung lượng trống trên đĩa; nhận thông tin phiên bản hệ điều hành (OS); nhận thông tin về bộ xử lý; nhận tên hệ thống; nhận thông tin địa chỉ IP cục bộ; lấy địa chỉ kiểm soát truy cập phương tiện (MAC) của nạn nhân; tìm kiếm, đọc, ghi, di chuyển và thực thi tệp; nhận và sửa đổi dấu thời gian của tệp hoặc thư mục; …

Cảnh báo của CISA đưa ra bao gồm các chỉ báo về sự xâm phạm và các chi tiết kỹ thuật khác có thể giúp quản trị viên hệ thống và chuyên gia bảo mật thiết lập các quy tắc để quét mạng của họ để tìm dấu hiệu xâm phạm.

Đây là lần thứ 35 chính phủ Mỹ đưa ra cảnh báo an ninh về hoạt động độc hại của Triều Tiên. Kể từ ngày 12/5/2017, CISA đã công bố báo cáo về 31 họ phần mềm độc hại của Triều Tiên trên trang web của mình .

Tin tặc lTriều Tiên là một trong bốn tác nhân đe dọa tích cực nhất nhắm vào Mỹ trong những năm gần đây, cùng với các nhóm tin tặc đến từ Trung Quốc, Iran và Nga.

Mỹ đã cố gắng ngăn chặn các cuộc tấn công bằng cách buộc tội tin tặc từ các quốc gia này hoặc công khai cho rằng các hoạt động tin tặc này đã vượt ra ngoài phạm vi thực của hoạt động gián điệp tình báo.

Vào tháng 4 vừa qua, Bộ Ngoại giao Mỹ đã tăng cường nỗ lực ngăn chặn hành vi tấn công của Triều Tiên bằng cách thiết lập một chương trình thưởng 5 triệu USD cho bất kỳ thông tin nào về tin tặc Triều Tiên, nơi ở hoặc các chiến dịch hiện tại của họ.

Trong một báo cáo được công bố vào tháng trước, Quân đội Mỹ tiết lộ rằng nhiều tin tặc của Triều Tiên hoạt động từ nước ngoài, không chỉ từ Triều Tiên mà còn đến từ các quốc gia như Belarus, Trung Quốc, Ấn Độ, Malaysia và Nga.

Phan Văn Hòa(theo ZDnet)