Chính phủ Trung Quốc sử dụng mã độc theo dõi người biểu tình tại Hồng Kông
Trong khi hàng ngàn người dân tụ tập trên các đường phố Hồng Kông đòi bầu cử dân chủ thì các nhà nghiên cứu bảo mật đã phát hiện ra hai phần mềm mã độc xuất hiên trên điện thoại di động mà dường như được sử dụng bởi chính phủ Trung Quốc nhằm theo dõi người biểu tình. Người dân Hồng Kông ...
Trong khi hàng ngàn người dân tụ tập trên các đường phố Hồng Kông đòi bầu cử dân chủ thì các nhà nghiên cứu bảo mật đã phát hiện ra hai phần mềm mã độc xuất hiên trên điện thoại di động mà dường như được sử dụng bởi chính phủ Trung Quốc nhằm theo dõi người biểu tình.
Người dân Hồng Kông đang phản đối bởi vì họ muốn bầu cử dân chủ chọn ra người lãnh đạo năm 2017. Chính phủ Trung Quốc ban đầu hứa sẽ không can thiệp nhưng sau đó đã đính chính lại rằng sẽ tự mình đưa ra các ứng cử viên. Sau khi cuộc biểu tình được diễn ra, người tham gia biểu tình bắt đầu nhận được những tin nhắn trên điện thoại của mình thông qua WhatsApp. Những tin nhắn có mục đích đến từ một nhóm tin tặc “Code4HK” chứa đường dẫn đến một ứng dụng được thiết kế để giúp các cuộc biểu tình.
Các nhà nghiên cứu tại Lacoon Mobile Security đã phân tích ứng dụng và xác nhận rằng nó là một Trojan điều khiển từ xa trên thiết bị di động (mRAT). Loại malware này được thiết kế nhằm thu thập thông tin danh bạ, tin nhắn SMS, nhật kí cuộc gọi, vị trí, các tập tin media, email và thông tin thiết bị bị nhiễm bao gồm ID, tần số CPU, bộ nhớ và dữ liệu mạng. Khi phân tích máy chủ (C&C) điều khiển malware này, các nhà nghiên cứu lại tình cờ phát hiện ra một mRAT thiết kế dành cho thiết bị iOS. Loại malware có tên Xsser cũng có khả năng tương tự loại trên nhưng nó được dùng trong ứng dụng tin nhắn Tencent phổ biến của Trung Quốc. Các nhà nghiên cứu chỉ ra rằng các loại malware này chỉ làm việc trên thiết bị đã jailbreak. “Các cuộc tấn công đa nền tảng nhắm đến cả thiết bị iOS và Android là rất hiếm, và điều này có thể được tiến hành bởi một tổ chức hay một quốc gia nào đó. Thực tế cuộc tấn công này nhắm đến người biểu tình và được sử dụng bởi tin tặc Trung Quốc khiến nó có gì đó liên kết với hoạt động của chính phủ Trung Quốc” .
Tin tặc đã sử dụng một số dịch vụ và kĩ thuật nhằm đảm bảo rằng chúng không thể bị phát hiện. Ví dụ, máy chủ C&C được kết nối với một dịch vụ máy chủ ảo riêng (VPS) và chúng có thể truy cập thông qua remote desktop (RDP). Hơn nữa, một số dịch vụ Trung Quốc đã được sử dụng nhằm bảo vệ danh tính của cá nhân đã đăng kí tên miền máy chủ C&C.
Securityweek
