Nguyễn Phú Trọng » An ninh Quốc phòng – Biển Đảo » SC Magazine: FireEye :Tin tặc Trung Quốc APT3 tấn công các ngành công nghiệp Mỹ và thế giới

(Không gian mạng) - Vào đầu tháng 06/2015, đội phân tích mối đe dọa của FireEye đã quan sát thấy một nhóm tin tặc Trung Quốc – được đặt tên là APT3 hay UPS – khai thác một lỗ hổng zero-day trên Adobe Flash Player trong các cuộc tấn công lừa đảo nhằm vào các ngành công nghiệp khác nhau tại Mỹ và trên khắp thế giới.

Ngày 23/06/2015, Adobe đã xử lý lỗ hổng ưu tiên cao này – CVE-2015-3113, lỗ hổng có thể bị tin tặc khai thác để đoạt quyền kiểm soát hệ thống bị ảnh hưởng – bằng cách phát hành một bản vá Flash Player cho các hệ điều hành Windows, Macintosh và Linux.

FireEye đã quan sát thấy một nhóm tin tặc Trung Quốc - được đặt tên là APT3 hay UPS

FireEye đã quan sát thấy một nhóm tin tặc Trung Quốc – được đặt tên là APT3 hay UPS

Trong bài viết vừa được đăng trên trang bolg của mình, FireEye cho biết, nhóm tin tặc APT3 đã khai thác lỗ hổng này trong một chiến dịch lừa đảo quy mô lớn nhằm vào các tổ chức thuộc các lĩnh vực như không gian vũ trụ và quốc phòng, xây dựng và kỹ thuật, công nghệ cao, viễn thông và các ngành công nghiệp vận chuyển.

Các tổ chức bị nhắm mục tiêu chủ yếu nằm ở Mỹ và Anh nhưng mục tiêu của chiến dịch này được cho là trên toàn cầu, Mike Oppenheimer, nhà phân tích thông tin tình báo mối đe dọa cấp cao tại FireEye cho biết.

Oppenheimer chia sẻ với SC Magazine qua email: “APT3 là một trong những nhóm tin tặc có tay nghề cao nhất mà FireEye theo dõi và sau khi khai thác thành công một mục tiêu, nhóm này sẽ nhanh chóng thu thập các thông tin đăng nhập, di chuyển trong các máy bổ sung và cài đặt cửa hậu tùy chỉnh, trong đó FireEye đã quan sát thấy việc sử dụng cửa hậu SHOTPUT”, 

Trong chiến dịch tấn công này, tin tặc gửi đi các email rất chung chung, yêu cầu người nhận nhấp vào một liên kết để có thể mua một iMac tân trang với giá hời, FireEye cho biết. Khi nhấp vào liên kết này, người dùng sẽ bị chuyển hướng đến một máy chủ bị xâm phạm, lưu trữ các đoạn mã JavaScript.

Khi mã này được chạy, một tập tin Adobe Flash Player SWF và tập tin FLV sẽ được tải về, dẫn đến việc cài đặt cửa hậu tùy chỉnh SHOTPUT, được phát hiện bởi FireEye với tên gọi Backdoor.APT.CookieCutter.

Bài viết của FireEye cho biết: “Cuộc tấn công này khai thác một lỗ hổng chưa được vá trong cách thức Adobe Flash phân tích các tập tin Flash Video (FLV). Hoạt động khai thác này sử dụng các kỹ thuật sửa đổi phổ biến để vượt qua tính năng Phân vùng bộ nhớ ngẫu nhiên (ASLR) và sử dụng Lập trình hướng đối tượng (ROP) để vượt qua tính năng Ngăn cản thực thi dữ liệu (DEP).Một mẹo nhỏ cho kỹ thuật ROP để khiến việc khai thác dễ dàng hơn và tránh bị phát hiện. Shellcode được lưu trữ trong tập tin khai thác Flash cùng với một khóa dùng để giải mã nó. Payload này được mã hóa XOR và ẩn trong một hình ảnh”.

FireEye lưu ý, việc theo dõi cơ sở hạ tầng của APT3 là rất khó vì có sự chồng chéo giữa các chiến dịch. Oppenheimer cho biết “FireEye đánh giá rằng APT3 tiến hành các hoạt động xâm nhập mạng vào một loạt các tổ chức và đánh cắp các tài sản sở hữu trí tuệ có liên quan chặt chẽ đến các mục tiêu kế hoạch của Trung Quốc”.

Hữu Thiên (dịch từ SC Magazine)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: