Nguyễn Xuân Phúc » An Ninh - Quốc Phòng » Tin tặc Trung Quốc sử dụng công cụ của HackingTeam phát tán mã độc

(Không gian mạng) - Ngày 29/05, hãng bảo mật Intezer (Israel) báo cáo phát hiện nhóm tin tặc Iron Cybercrime Group (Trung Quốc) đang sử dụng mã code cũ của HackingTeam từng bị rò rỉ để xâm nhập vào hàng ngàn công ty, chủ yếu ở Châu Á.

Source code close-up. Information technology website coding standards for web design

Báo cáo mới nhất cho thấy vụ rò rỉ dữ liệu của HackingTeam vào năm 2015 cho phép ai cũng có thể sao chép về, vẫn đang gây ảnh hưởng đến tình hình bảo mật thế giới.

HackingTeam tuyên bố rằng họ chỉ bán sản phẩm “đánh chặn hợp pháp” của mình cho chính phủ và cơ quan hành pháp, nhưng các điều tra trước đây cho thấy nhiều chế độ độc tài đã lạm dụng những công cụ này để nhắm mục tiêu vào người bất đồng chính kiến vô tội. Vụ rò rỉ năm 2015 cũng đã cung cấp nguồn lực mạnh mẽ cho nhiều người, trong đó có tội phạm mạng.

Theo báo cáo, các nhà nghiên cứu Intezer lần đầu ghi nhận một loạt trojan RAT lạ, mã độc đào tiền ảo (cryptominer), mã độc tống tiền (ransomware) trên Windows, Linux và nền tảng Android khi giám sát các nguồn dữ liệu công khai. Ngoài ra, thủ phạm dường như tập trung tấn công ví điện tử người dùng để đánh cắp đồng Monero, loại tiền điện tử đang trở nên “gần gũi” với giới tội phạm mạng.

Intezer cho biết, trong suốt năm 2017, nhóm Iron Cybercrime Group đã phát tán mã độc, kết hợp với công cụ khai thác mã nguồn mở RCS của HackingTeam, một loại phần mềm gián điệp. Phân tích sâu hơn đã chỉ ra những công cụ này thực tế đã bị công khai và có sẵn trên mạng, cho thấy tin tặc không trực tiếp mua mà đã có được chúng từ dữ liệu bị rò rỉ.

Trưởng nhóm nghiên cứu tại Intezer Ari Eitan cho biết: “Đây là một nhóm tội phạm mạng Trung Quốc tinh vi. Hiện nay, chúng ta hiếm khi thấy ai sử dụng code cũ của HackingTeam, vì chúng không đơn giản như việc chỉ cần cắt và dán. Và có nhiều mã nguồn khác còn hiệu quả và dễ bắt chước hơn… Những gì chúng ta thấy có lẽ là một chiến dịch lớn với những công cụ đang được soạn thảo”.

Báo cáo cũng cung cấp một cái nhìn về việc các nhóm tin tặc Trung Quốc đang phát triển mã độc chuyên qua mặt công cụ diệt virus phổ biến trong nước như thế nào. Các công cụ như backdoor, cryptominer, ransomware của nhóm Iron Cybercrime Group đều được cấu hình để tránh bị phần mềm diệt virus Quihoo 360 (Trung Quốc) phát hiện. Nếu phát hiện thấy phần mềm Quihoo trên máy mục tiêu, tin tặc sẽ không tiến hành cài đặt trình tải độc cuối cùng.

Lâm Quang Dũng (Lược dịch từ: Cyberscoop)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: