Hacker tấn công máy chủ Olympic mùa đông 2018 vẫn đang còn hoạt động

Bạn có còn nhớ cuộc tấn công mạng “Olympic Destroyer”?

Nhóm hacker đứng đằng sau vụ tấn công mạng “Olympic Destroyer” được phát hiện vẫn đang còn hoạt động, và chúng đã tìm được mục tiêu mới, lần này là các phòng thí nghiệm về phòng chống mối đe dọa sinh học và hóa học ở châu Âu, Ukraine, và một vài tổ chức tài chính ở Nga.

Đầu năm nay, một nhóm các hacker nổi tiếng đã tấn công vào máy chủ Thế vận hội mùa đông 2018, được tổ chức tại Hàn Quốc, chúng sử dụng một loại malware phá hoại được thiết kế để tạo ra các dấu hiệu giả một cách tinh vi nhằm đánh lừa các nhà bảo mật tham gia nghiên cứu cuộc tấn công.

Thật không may, loại malware phá hoại này đã thành công ở một mức độ nào đó, ít nhất là trong một vài ngày. Ngay sau cuộc tấn công, các nhà bảo mật khác nhau đã xử lý thành công malware “Olympic Destroyer” và bắt đầu tấn công vào các nhóm hacker thuộc quốc gia khác nhau gồm Bắc Triều Tiên, Nga, và Trung Quốc.

Sau đó, các nhà bảo mật của Kaspersky Labs đã phát hiện thêm những chi tiết mới về vụ tấn công, bao gồm cả bằng chứng về việc sử dụng các dấu hiệu giả trong mã độc và kết luận rằng toàn bộ hoạt động tấn công này đã được chuẩn bị kỹ lưỡng để đánh lừa các nhà bảo mật.

Theo một báo cáo mới nhất được Kaspersky Labs công bố vào hôm nay, công ty bảo mật này nghi ngờ rằng nhóm hacker nói trên đang nhắm mục tiêu tấn công vào các tổ chức ở Nga, Ukraine và một số nước châu Âu vào tháng 5 và tháng 6 năm 2018, cụ thể là các tổ chức phản ứng và bảo vệ chống lại các mối đe dọa sinh học và hóa học.

Cuộc tấn công mới này có những điểm tương đồng mới với “Olympic Destroyer”

Trong quá trình điều tra, các nhà bảo mật phát hiện ra rằng các chiến thuật khai thác và đánh lừa được sử dụng trong cuộc tấn công mạng mới có nhiều điểm tương đồng với cuộc tấn công “Olympic Destroyer”.

“Vào tháng 5-6/2018, chúng tôi đã phát hiện ra các tài liệu đính kèm trong email giả mạo mới giống với các tài liệu đã được sử dụng trong cuộc tấn công “Olympic Destroyer” trước đây”, các nhà bảo bật cho biết. “Hacker tiếp tục sử dụng “một vector lây nhiễm thực thi không nhị phân” và các tập lệnh được làm mờ để tránh bị phát hiện.”

Cũng giống như “Olympic Destroyer”, cuộc tấn công mới này cũng nhắm mục tiêu đến những người dùng có liên quan với các tổ chức cụ thể, sử dụng email giả mạo trông giống như đến từ một người quen, với tệp tài liệu đính kèm.

Nếu nạn nhân mở tệp tài liệu độc hại được đính kèm theo email giả mạo, nó sẽ tận dụng các macro để tải xuống và thực thi ngầm nhiều tập lệnh PowerShell và cài đặt payload ở bước cuối cùng (bước thứ 3) để điều khiển từ xa thông qua hệ thống của nạn nhân.

Các nhà bảo mật phát hiện ra rằng kỹ thuật được sử dụng để làm xáo trộn và giải mã mã độc hại cũng giống như kỹ thuật được sử dụng trong chiến dịch tấn công máy chủ Olympic mùa đông 2018.

Bước thứ hai của kịch bản tấn công này là vô hiệu hóa việc đăng nhập Powershell nhằm tránh để lại dấu vết và sau đó tải xuống payload cuối cùng có tên “Powershell Empire agent”, cho phép kiểm soát bí mật các hệ thống bị xâm nhập trên kênh thông tin đã được mã hóa.

Hacker nhắm mục tiêu tấn công vào các phòng thí nghiệm phòng chống mối đe dọa sinh học và hóa học

Theo các nhà bảo mật, nhóm hacker này đã cố gắng tiếp cận với những máy tính ở nhiều nước, bao gồm Pháp, Đức, Thụy Sĩ, Nga và Ukraina.

Các nhà bảo mật đã tìm thấy những bằng chứng về việc nhóm hacker này chủ yếu nhắm vào những người có liên quan đến một hội nghị về mối đe dọa sinh hóa có tên gọi là Spiez Convergence, được tổ chức tại Thụy Sĩ và do phòng thí nghiệm Spiez chủ trì.

Phòng thí nghiệm Spiez là tổ chức đã đóng một vai trò quan trọng trong việc điều tra vụ ngộ độc vào tháng 3 năm nay của một điệp viên người Nga trước đây từng hoạt động ở Anh. Cả Anh và Mỹ đều cho rằng chính phủ Nga đứng sau vụ đầu độc và cả 2 nước này đã tiến hành trục xuất hàng chục nhà ngoại giao Nga.

Bên cạnh đó cũng có một tài liệu khác đã được nhắm vào Bộ Y tế Ukraine.

Hiện vẫn chưa biết rõ danh tính của những hacker đứng đằng sau các cuộc tấn công, nhưng Kaspersky Labs đã tiến hành tư vấn cho tất cả các tổ chức nghiên cứu và phòng chống mối đe dọa sinh hóa để tăng cường an ninh công nghệ thông tin của họ và thực hiện kiểm toán bảo mật đột xuất.

THN