Các tổ chức bảo mật hợp tác để chống lại nhóm tin tặc Trung Quốc

Một nhóm các công ty bảo mật cho biết một nỗ lực hợp tác nhằm phản đối một số công cụ hack được sử dụng bởi một nhóm Trung Quốc từ cách đây 4 năm bị Google lên án mạnh mẽ.

ac

Các công ty, trong đó bao gồm Cisco, FireEye, F-Secure, iSight Partners, Microsoft, Tenable, ThreatConnect, ThreatTrack an, Volexity, Novetta và Symantec cho biết những nỗ lực của họ đã đưa đến một cấp độ bảo vệ tốt hơn trong các sản phẩm chống lại các công cụ hack mà nhóm này sử dụng. Những tên tội phạm mạng vẫn đang theo dõi những nỗ lực mà các công ty đang thực hiện.

Novetta, đứng đầu nhóm hợp tác, cho biết một báo cáo kỹ thuật toàn diện về hoạt động, được gọi là “Operation SMN”, sẽ được công bố vào ngày 28 tháng 10, mặc dù một số chi tiết đã được công bố bởi Symantec trên một bài đăng blog hôm thứ ba. Các tin tặc, Symantec gọi là “Hidden Lynx”, được cho là đã đứng đằng sau “Operation Aurora”, một chiến dịch gián điệp nổi tiếng bị đưa ra ánh sáng vào đầu năm 2010 gây tổn hại cho khoảng 20 công ty.

Google cho biết cuộc tấn công đánh cắp một số tài sản trí tuệ của họ và có vẻ nhắm tới các tài khoản Gmail của các nhà hoạt động nhân quyền Trung Quốc.

Ý kiến ​​của Google làm gia tăng một cuộc tranh cãi ngoại giao giữa Mỹ và Trung Quốc về các vấn đề an ninh mạng. Các công ty khác của Mỹ ủng hộ Google trực tiếp đổ lỗi cho Trung Quốc về các chiến dịch xâm nhập lâu dài và phức tạp. Trung Quốc đã cực lực phủ nhận các cuộc tấn công và nói rằng thực chất họ là nạn nhân bị Mỹ đổ lỗi bừa bãi.

Các công ty bảo mật máy tính có quan hệ hợp tác rất lỏng lẻo, vì nhiều công ty cạnh tranh trực tiếp để lôi kéo khách hàng. Nhưng vào tháng giêng, Microsoft kêu gọi các công ty hợp tác chặt chẽ với nhau hơn để chống lại một số loại phần mềm độc hại sử dụng thành công bởi những kẻ tấn công từ năm này qua năm khác.

Dự án được gọi là chương trình “Phối hợp xóa bỏ phần mềm độc hại” (“Coordinated Malware Eradication”) và hành động đầu tiên của nó là nhắm vào “Hikit”, một backdoor các tin tặc Hidden Lynx cố gắng cài đặt trên các máy tính. Các Backdoor cho phép thăm dò một máy tính bị lây nhiễm hoặc tải lên những phần mềm độc hại khác.

Hikit đã được sử dụng chống lại các chính phủ và công nghệ, các công ty nghiên cứu và bảo mật ở nhiều quốc gia trong đó có Mỹ, Nhật Bản, Đài Loan và Hàn Quốc. Phần mềm độc hại Hikit được sử dụng trong cuộc tấn công năm 2012 chống lại Bit9, Waltham, Massachusetts, công ty bán nền tảng bảo mật được thiết kế một phần để ngăn chặn tin tặc khỏi việc cài đặt phần mềm độc hại.

Khi ở trong Bit9, các tin tặc truy cập một máy ảo dùng để đăng ký mã cho Bit9, một biện pháp bảo mật xác nhận mã của công ty là hợp pháp. Sau đó tin tặc  sử dụng chứng nhận kỹ thuật số của Bit9 để đăng ký 32 tập tin và script độc hại, bao gồm cả Hikit.

Loại tấn công này đặc biệt nguy hiểm. Với chữ ký số của Bit9, Hikit có thể xem một cách hợp pháp phần mềm bảo mật khác và không bị phát hiện là phần mềm độc hại. Các cuộc điều tra sau đó cho thấy HiKit được sử dụng trong các cuộc tấn công gọi là watering hole, trong đó mà các trang web hợp pháp bị giả mạo để phán tán phần mềm độc hại tới máy tính của khách truy cập.

Nhóm tin tặc Trung Quốc đã thêm nhiều backdoors – Fexel và Gresim – vào kho vũ khí của chúng vào năm 2013, được sử dụng kết hợp với Hikit. Gresim chưa được biết tới trước khi các công ty an ninh bắt đầu hợp tác.

Pcworld