Nguyễn Xuân Phúc » An Ninh - Quốc Phòng » Gián điệp mạng Triều Tiên khai thác lỗ hổng ActiveX Zero-Day tấn công Hàn Quốc

(Không gian mạng) - Một nhóm gián điệp mạng Triều Tiên đã khai thác lỗ hổng ActiveZ zero-day và lây nhiễm mã độc hoặc đánh cắp thông tin từ hệ thống lây nhiễm của các mục tiêu Hàn Quốc.

Andariel

Thủ phạm của những đợt tấn công này là nhóm Andariel. Theo báo cáo của hãng bảo mật AhnLab (Hàn Quốc), nhóm Andariel là một đơn vị nhỏ thuộc nhóm tin tặc khét tiếng Lazarus – một bộ máy gián điệp mạng của Triều Tiên.

Chiến dịch bắt đầu từ tháng 04/2018

Theo kênh truyền thông địa phương, nhóm tin tặc Andariel đã khai thác ít nhất 9 lỗ hổng ActiveX riêng lẻ, bao gồm 1 lỗ hổng zero-day mới, để triển khai các cuộc tấn công từ tháng 04/2018.

Nhóm Andariel thường sử dụng backdoor để lây nhiễm các máy chủ, nơi chúng tìm kiếm và thu thập thông tin.

Một quan chức chính phủ thuộc Cục Internet & Bảo mật Hàn Quốc (KISA) cho biết: “Lỗ hổng zero-day đã được tìm thấy trong những cuộc tấn công này”.

Theo truyền thông địa phương và chuyên gia bảo mật Simon Choi, tin tặc Triều Tiên, cụ thể là nhóm Andariel, có lịch sử khai thác các lỗ hổng ActiveX từ lâu.

Lỗ hổng zero-day liên quan đến cuộc tấn công SDS Acube của Samsung

Một nhà nghiên cứu bảo mật Hàn Quốc dấu tên cho biết, lỗ hổng ActiveX zero-day có liên quan đến cuộc tấn công vào trình cài đặt SDS Acube Samsung.

Acube là một ứng dụng phần mềm nhóm (groupware) trên máy tính để bàn do Samsung phát triển, khá phổ biến trong các doanh nghiệp Hàn Quốc, và nó cũng hỗ trợ các lệnh điều khiển ActiveX.

ActiveX là một framework phần mềm do Microsoft tạo ra. Nó được phát triển để hỗ trợ một loạt các tính năng tương tác và được nhúng vào nhiều ứng dụng phổ biến như Internet Explore, Office…

Samsung đã phát hành bản vá cho Acube để tránh việc lỗ hổng zero-day trên ứng dụng này bị khai thác. Ngày 28/05, Đội Ứng cứu máy tính khẩn cấp Hàn Quốc cũng đã đưa ra lời cảnh báo bảo mật cùng những hướng dẫn giúp doanh nghiệp tại đây cập nhật chương trình Acube.

Triều Tiên tiếp tục tấn công mạng dù đang đối thoại hòa bình

Tuy nhiên, trong khi chờ thông tin chi tiết hơn về lỗ hổng ActiveX zero-day bí ẩn, thì vấn đề chính từ những báo cáo này là việc Triều Tiên vẫn tiếp tục triển khai các cuộc tấn công mạng, dù quan chức 2 nước Hàn – Triều đang tiến hành các cuộc đàm phán hòa bình.

Các chuyên gia bảo mật hy vọng hoạt động tấn công mạng của Triều Tiên ở Hàn Quốc sẽ giảm, tương tự như trường hợp của Trung Quốc khi 2 nước Trung – Mỹ ký kết thỏa thuận an ninh mạng ngoại giao năm 2015, các chiến dịch tấn công mạng của Trung Quốc từ đó đã giảm.

Nhưng điều này đã không thành sự thật. Mới đây, 5 hãng bảo mật từ Mỹ: Dell SecureWorks, McAfee, Symantec, FireEye, và Recorded Future lần lượt công bố báo cáo về hoạt động mạng của các nhóm tin tặc Triều Tiên trong thời gian gần đây, nhấn mạnh các chiến dịch gián điệp của Triều Tiên vẫn hoạt động mạnh mẽ như thường, hoặc có phần gia tăng trong vài tuần gần đây.

Bộ An ninh Nội Địa và Cục Điều tra Liên bang Mỹ cũng vừa phát hành cảnh báo chung về 2 loại mã độc Brambul và Joanap, được cho là của nhóm Lazarus (còn được Chính phủ Mỹ gọi là Hidden Cobra).

Lâm Quang Dũng (Lược dịch từ: Bleeping Computer)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyenxuanphuc.org
Thích và chia sẻ bài này trên: