Ứng dụng

Cảnh bảo về mã độc Slingshot

(KHCN)-Các nhà nghiên cứu tại Kaspersky vừa xác định được một nhóm tin tặc APT hoạt động từ năm 2012 mà không hề bị phát hiện nhờ vào các kỹ thuật thông minh và phức tạp của chúng.

Nhóm tin tặc sử dụng một phần của mã độc tiên tiến – Slingshot – để lây nhiễm cho hàng trăm ngàn nạn nhân ở Trung Đông và Châu Phi bằng cách xâm nhập vào bộ định tuyến của họ bằng cách khai thác một lỗ hổng trong các router từ nhà cung cấp phần cứng mạng Mikrotik (Lavia, Phần Lan), bước đầu là bí mật phát tán phần mềm gián điệp qua máy tính nạn nhân.

Khi router bị xâm chiếm, kẻ tấn công sẽ thay một file trong thư viện liên kết động (Dynamic Link Library - DDL) bằng một mã độc từ file trên hệ thống, tải trực tiếp vào bộ nhớ máy tính của nạn nhân khi người dùng chạy phần mềm Winbox Loader. Winbox Loader là một công cụ quản lý hợp pháp do Mikrotik thiết kế cho người dùng Windows dễ dàng cấu hình các router của họ để tải các file DLL từ router và thực thi chúng trên hệ thống. Bằng cách này, mã độc có trong file DLL sẽ chạy trên máy tính mục tiêu, kết nối đến một máy chủ từ xa để tải về payload. Mã độc Slingshot bao gồm 2 môđun là: Cahnadr (chế độ nhân) và GollumApp (chế độ người dùng), được thiết kế để thu thập, lưu thông tin và lọc dữ liệu.

Cahnadr hay aka NDriver phụ trách chống sửa lỗi (debug), ẩn giấu mã độc và chức năng phòng chống các kiểu tấn công (sniffing), lây nhiễm các môđun khác, giao tiếp mạng được yêu cầu theo chế độ người dùng.

GollumApp là một module giả mạo chứa các chức năng do thám, cho phép tin tặc chụp ảnh màn hình, thu thập các thông tin về mạng, mật khẩu được lưu trong trình duyệt, các phím được bấm và duy trì kết nối với máy chủ điều khiển từ xa (C&C server). Khi GollumApp chạy chế độ nhân và có thể chạy các tiến trình mới với đặc quyền SYSTEM, mã độc sẽ trao toàn quyền kiểm soát của hệ thống bị lây nhiễm cho tin tặc.

Mặc dù các nhà nghiên cứu Kaspersky không cho biết nguồn gốc nhóm tin tặc này nhưng dựa trên các kỹ thuật thông minh mà họ sử dụng và các mục tiêu thì công ty an ninh đã kết luận rằng, đây chắc chắn là tin tặc do nhà nước bảo trợ, nói tiếng Anh có kỹ năng cao.

Nạn nhân của Slingshot bao gồm các cá nhân và một số tổ chức chính phủ ở các nước bao gồm Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, Cộng hòa Dân chủ Congo, Turkey, Sudan và các tiểu vương quốc Ả Rập thống nhất.

TH

Thông tin website

Chuyên trang Bản tin khoa học công nghệ.
Thực hiện : Phòng Khoa học - Công nghệ, Trung Tâm CNTT, BộVăn hoá,Thể thao & Du lịch.
Người chịu trách nhiệm chính: Nguyễn Thanh Liêm - Giám đốc.

Địa chỉ: Ngõ 2 số 20, Vân Hồ, Hoa Lư, Hà Nội;
Tel: 0243 9745845
Email: khoahoccongnghe@cinet.gov.vn
Ghi rõ nguồn khi phát lại thông tin từ website này.

Liên hệ Tòa soạn