Hãng bảo mật lớn Kapersky bị mã độc nguy hiểm tấn công

Mã độc Duqu 2.0 - một nền tảng phần mềm độc hại cực kì tinh vi lợi dụng đến 3 lỗ hổng zero - day đã tấn công vào hãng bảo mật Kaspersky với mục tiêu chính là tấn công nhằm có được thông tin về các công nghệ mới nhất của công ty.

Theo bản báo cáo mới nhất của Kaspersky cho biết, vào đầu xuân năm 2015, Kaspersky Lab phát hiện một cuộc tấn công mạng làm ảnh hưởng đến nhiều hệ thống nội bộ. Sau đó, công ty đã tiến hành điều tra chuyên sâu và phát hiện một nền tảng phần mềm độc hại đến từ một trong nhiều mối đe dọa chuyên nghiệp, bí ẩn và lớn mạnh nhất trong thế giới APT (mối nguy hiểm cao thường trực): Duqu.

Kaspersky Lab tin rằng kẻ tấn công hẳn đã tự tin sẽ không bị phát hiện. Cuộc tấn công này có những điểm kì lạ, chưa từng thấy qua trước đây và gần như không để lại dấu vết nào. Nó lợi dụng lỗ hổng zero – day và sau khi nâng quyền lên quản trị miền, mã độc sẽ lan rộng ra thông qua các tập tin MSI (Microsoft Software Installer) thường xuyên được quản trị viên hệ thống sử dụng để cài đặt phần mềm trên máy tính. Cuộc tấn công khiến việc điều tra gặp khó khăn khi nó không để lại bất kì tập tin hay thay đổi bất kì cài đặt hệ thống nào. Nguyên tắc và lối suy nghĩ của nhóm “Duqu 2.0” là cả một thế hệ tiến xa hơn cả những gì đã được nhìn thấy trong thế giới APT.

Nói rõ hơn, Kaspersky Lab cho biết, các cuộc tấn công đã được lên kế hoạch cẩn thận và thực hiện bởi cùng một nhóm đứng đằng sau các cuộc tấn công APT Duqu khét tiếng vào năm 2011. Kaspersky Lab cho rằng đây là một chiến dịch được quốc gia tài trợ. Đặc biệt, hãng này tin rằng mục tiêu chính của cuộc tấn công là để có được thông tin về các công nghệ mới nhất của công ty. Kẻ tấn công đặc biệt quan tâm đến thông tin chi tiết của những sản phẩm mới bao gồm Kaspersky Lab’s Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network và giải pháp và dịch vụ chống APT. Các phòng ban không thuộc bộ phận Nghiên Cứu và Phát Triển (bán hàng, marketing, quan hệ và pháp lý) nằm ngoài sự quan tâm của kẻ tấn công.

Đại diện của Kaspersky khẳng định rằng, thông tin mà kẻ tấn công truy cập không quan trọng đối với hoạt động của sản phẩm công ty. Do đó, khách hàng và đối tác vẫn an toàn và sản phẩm, công nghệ và dịch vụ của công ty đều không bị ảnh hưởng. Có được thông tin về cuộc tấn công này, Kaspersky Lab sẽ tiếp tục cải thiện hiệu suất của các giải pháp an ninh IT. 

Costin Raiu, Điều hành nhóm Nghiên cứu và Phân tích Toàn cầu thuộc Kaspersky Lab cho biết: “Những người đứng sau Duqu là một trong các nhóm APT chuyên nghiệp và lớn mạnh nhất, và họ làm tất cả những gì có thể để không bị phát hiện. Đây là cuộc tấn công tinh vi sử dụng đến 3 lỗ hổng zero - day. Điều này thật sự ấn tượng vì chi phí thực hiện rất cao.

Để không bị phát hiện, phần mềm độc hại chỉ tồn tại trên bộ nhớ hạt nhân vì vậy giải pháp chống phần mềm độc hại khó mà tìm ra được chúng. Nó cũng không trực tiếp kết nối với máy chủ điều khiển qua lệnh để nhận hướng dẫn. Thay vào đó, kẻ tấn công đầu độc cổng mạng và tường lửa bằng cách cài đặt ổ đĩa nhiễm độc ủy nhiệm mọi truy cập từ mạng nội bộ đến máy chủ điều khiển qua lệnh của kẻ tấn công."

Ngoài ra, theo Kaspersky, công ty họ không phải là mục tiêu duy nhất của mối đe dọa lớn mạnh này. Kẻ tấn công cũng rất quan tâm đến các cuộc điều tra gần đây của Kaspersky Lab về các cuộc tấn công nhắm vào mục tiêu cấp cao, và xem danh tiếng của công ty là yếu tố quan trọng nhất trong việc điều tra và chống lại phức hợp các cuộc tấn công APT. Các nạn nhân khác được phát hiện ở các quốc gia châu Âu, cũng như ở Trung Đông và châu Á. Đáng chú ý nhất là, một số sự nhiễm độc mới vào năm 2014 – 2015 có liên quan đến sự kiện và địa điểm đàm phán của các nước P5 + 1 với Iran về thỏa thuận hạt nhân. Dường như mối đe dọa đằng sau Duqu đã thực hiện tấn công tại nơi diễn ra các cuộc đàm phán cấp cao. Ngoài nhóm P5 + 1, Duqu 2.0 cũng thực hiện cuộc tấn công tương tự có liên quan đến sự kiện kỉ niệm 70 năm giải phóng Auschwitz-Birkenau. Những hội nghị này có sự góp mặt của nhiều quan chức và chính trị gia đến từ nhiều nước.

Kaspersky Lab muốn nhắc lại rằng đây chỉ là kết quả sơ bộ của cuộc điều tra. Chắc chắn là phạm vi địa lý cuộc tấn công này đã vượt ra rộng hơn và nhắm vào nhiều mục tiêu hơn. Nhưng xét về những gì công ty đã biết, Duqu 2.0 đã và đang tấn công nhiều mục tiêu cấp cao với sự quan tâm về địa chính trị tương tự. Hãng cũng cho biết phát hiện mối đe dọa này với tên gọi HEUR:Trojan.Win32.Duqu2.gen.      

Theo Dân trí