Hacker Iran xâm nhập các hãng hàng không, sân bay, các công ty cơ sở hạ tầng quan trọng

Trong hai năm qua, một nhóm các hacker Iran đã xâm nhập máy tính và mạng thuộc hơn 50 tổ chức từ 16 quốc gia, bao gồm cả các hãng hàng không, các nhà thầu quốc phòng, các trường đại học, quân sự, bệnh viện, sân bay, các công ty viễn thông, các cơ quan chính phủ, và các công ty năng lượng và khí đốt.

Các cuộc tấn công được mệnh danh là Operation Cleaver sau khi các công cụ phần mềm độc hại khác nhau mà nhóm hacker sử dụng được tìm thấy. Các cuộc tấn công được cho là hoạt động chủ yếu bên ngoài Tehran.

Trong một báo cáo công bố hôm thứ ba (2/12), các nhà nghiên cứu của hãng bảo mật Cylance cho biết “Chúng tôi phát hiện ra hơn 50 đối tượng là mục tiêu của bọn tội phạm mạng trong cuộc điều tra, phân bổ trên toàn cầu. Mười trong số những đối tượng này có trụ sở chính tại Mỹ, bao gồm một hãng hàng không lớn, một trường đại học y khoa, một công ty chuyên sản xuất năng lượng khí đốt tự nhiên, một nhà sản xuất ô tô, một nhà thầu quốc phòng lớn, và một căn cứ quân sự.”

Các nạn nhân khác đã được xác định ở Canada, Trung Quốc, Anh, Pháp, Đức, Ấn Độ, Israel, Kuwait, Mexico, Pakistan, Qatar, Saudi Arabia, Hàn Quốc, Thổ Nhĩ Kỳ và các tiểu vương quốc A rập.

Những kẻ tấn công sử dụng công cụ tấn tấn công và các bộ khai thác có sẵn, cũng như các chương trình phần mềm độc hại chuyên ngành do chúng tự tạo. Cylance tin rằng nhóm này gồm ít nhất 20 tin tặc và các nhà phát triển, những người ủng hộ quyền lợi của Iran và có thể được tuyển chọn từ các trường đại học của đất nước này.

“Cơ sở hạ tầng được sử dụng trong chiến dịch này là quá lớn so với một cá nhân đơn lẻ hoặc một nhóm nhỏ. Chúng tôi tin rằng công việc này được tài trợ bởi Iran”, các nhà nghiên cứu Cylance cho biết.

Kiểu truy cập các tin tặc sử dụng đối với các tổ chức khác nhau và các dữ liệu mà chúng đã đánh cắp rất đa dạng. Trong trường hợp của các trường đại học, chúng nhắm mục tiêu đến các dữ liệu nghiên cứu, thông tin sinh viên, nhà ở sinh viên, cũng như các thông tin về danh tính, hình ảnh và hộ chiếu. Trong trường hợp các công ty cơ sở hạ tầng quan trọng, chúng đánh cắp các thông tin nhạy cảm có thể cho phép chúng hoặc tổ chức liên quan phá hoại các hệ thống điều khiển công nghiệp và SCADA (điều khiển giám sát và thu thập dữ liệu), các nhà nghiên cứu Cylance cho biết.

Cho đến giờ, không có bằng chứng về sự phá hoại này, nhưng Cylance tin đây có thể là mục tiêu cuối cùng của chiến dịch, và được coi như sự trả đũa của Iran đối với các cuộc tấn công sử dụng phần mềm độc hại Stuxnet, Duqu và Flame. Stuxnet, được xem như là phần mềm độc hại quân sự đầu tiên trên thế giới, được cho là do Mỹ và Israel tạo ra nhằm phá hoại những nỗ lực làm giàu uranium của Iran và thiết lập lại chương trình hạt nhân của mình.

Các nhà nghiên cứu Cylance cho biết: “Có lẽ bằng chứng lạnh gáy nhất mà chúng tôi thu thập được trong chiến dịch này là nó nhắm mục tiêu xâm nhập vào mạng lưới giao thông vận tải và các hệ thống như các hãng hàng không và sân bay ở Hàn Quốc, Saudi Arabia và Pakistan. Mức độ tiếp cận dường như ở khắp mọi nơi: Các tên miền Active Directory đã bị xâm nhập hoàn toàn, cùng với toàn bộ thiết bị chuyển mạch Cisco Edge, các bộ định tuyến, và cơ sở hạ tầng mạng nội bộ”.

“Chúng đã đạt được quyền truy cập đầy đủ đến cổng sân bay và hệ thống kiểm soát an ninh, việc này cho phép chúng bắt chước cổng chứng nhận. Chúng đã đạt được quyền truy cập vào PayPal và chứng nhận Go Daddy cho phép chúng thực hiện mua bán gian lận và cho phép truy cập tự do đến các tên miền của nạn nhân. Chúng tôi đã chứng kiến một số lượng truy cập gây sốc vào những phần bí mật nhất của các công ty và các sân bay mà chúng xâm nhập”, các nhà nghiên cứu cho biết.

Nhóm tin tặc Iran đã được mệnh danh là Tarh Andishan – dịch sang tiếng Anh là “Nhà tư tưởng” hay “Nhà sáng lập” – bởi một số hoạt động của nhóm này được bắt nguồn từ khối địa chỉ đăng ký IP (Internet Protocol), được gọi là Tarh Andishan ở Tehran.

Các nhà nghiên cứu Cylance cho biết: “Các khối mạng trên có quan hệ rất lớn với các công ty dầu khí quốc doanh. Những công ty có các cựu nhân viên và nhân viên hiện tại là chuyên gia ICS [hệ thống điều khiển công nghiệp]”.

Các tin tặc Tarh Andishan sử dụng lỗi SQL injection phổ biến, các cuộc tấn công lừa đảo hoặc các cuộc tấn công water-hole để tiếp cận với một hoặc nhiều máy tính của một tổ chức nhắm mục tiêu. Sau đó, chúng leo thang đặc quyền và sử dụng các công cụ khác để xâm nhập hệ thống mở rộng và di chuyển sâu hơn bên trong mạng lưới của mình. Tuy nhiên, không phát hiện thấy lỗ hổng zero-day nào được khai thác.

Công cụ chính của nhóm là một chương trình Trojan được gọi là TinyZBot được tạo ra bởi các nhà phát triển của nhóm. Tuy nhiên, Cylance đã phát hành hơn 150 công cụ, các mẫu phần mềm độc hại và các chỉ số xâm nhập liên quan đến hoạt động của nhóm nhằm giúp ngành công nghiệp an ninh phát hiện sự tồn tại và việc xâm nhập trong tương lai của Operation Cleaver.

Pcworld