Mã độc Gazer tấn công các tổ chức chính phủ trên toàn cầu

Các nhà nghiên cứu ESET phát hiện ra một chiến dịch mã độc tấn công nhắm đến các cơ quan tổ chức chính phủ như đại sứ quán, bộ ngoại giao với mục đích do thám.

Hoạt động từ năm 2016, chiến dịch mã độc sử dụng mã độc mới có tên Gazer, được thực hiện bởi tổ chức tin tặc Turla; trước đó đã từng liên quan tới tình báo Nga. Gazer được viết bằng ngôn ngữ lập trình C++, phát tán thông qua email lừa đảo và chiếm quyền kiểm soát máy tính của nạn nhân.

Trong các chiến dịch trước đó, nhóm tin tặc Turla sử dụng các loại backdoor Carbon và Kazuar khá giống với Gazer hiện tại. Mã độc Gazer nhận lệnh được mã hóa thông qua máy chủ điều khiển từ xa và giả mạo các trang web truyền thống nhằm tránh bị phát hiện.

Thay vì sử dụng Windows Cryto API, Gazer sử dụng một thư viện mã hóa 3DES và RSA để mã hóa dữ liệu trước khi gửi đến máy chủ điều khiển. Gazer sử dụng kĩ thuật chèn mã độc (code-injection) nhằm nắm quyền kiểm soát thiết bị và tránh bị phát hiện. Mã độc Gazer cũng có khả năng truyền lệnh của tin tặc từ thiết bị lây nhiễm này sang thiết bị lây nhiễm khác trong cùng mạng.

Mã độc Gazer lây nhiễm trên toàn cầu

Hầu hết nạn nhân tại châu Âu. Công ty bảo mật Kaspersky lab cũng đã phát hiện ra loại mã độc này và đặt tên chiến dịch tấn công là ‘Whitebear’.

THN