Tháng 11, 2017
Chủ nhật
Thứ Sáu, ngày 15/05/2015 17:10 PM (GMT+7)

Tin tặc Trung Quốc dùng trang web của Microsoft để tấn công Mỹ

Microsoft đã tiến hành các bước ngăn chặn một nhóm tin tặc Trung Quốc dùng trang web TechNet của mình như một phần trong những cơ sở hạ tầng cho các cuộc tấn công, theo hãng bảo mật FireEye cho biết.

Nhóm tin tặc này được FierEye gọi là APT 17 (mối đe dọa dai dẳng cấp cao), nổi tiếng với những cuộc tấn công vào các nhà thầu quốc phòng, công ty luật, các cơ quan chính phủ Mỹ và các công ty công nghệ, khai thác mỏ.

TechNet là trang web có lưu lượng truy cập cao, chứa các tài liệu hướng dẫn kỹ thuật cho những sản phẩm của Microsoft. Nó cũng có diễn đàn lớn, nơi người dùng có thể bình luận và đặt câu hỏi.

APT 17, có biệt danh là DeputyDog, đã tạo những tài khoản trên TechNet và đăng bình luận trên vài trang nhất định. Những bình luận này chứa tên của một tên miền mã hóa, mà các máy tính bị phần mềm độc hại malware của nhóm này ảnh hưởng sẽ liên lạc tới.

Tên miền mã hóa này sau đó sẽ hướng máy tính của nạn nhân đến một máy chủ ra lệnh và điều khiển, là một phần cơ sở hạ tầng của nhóm APT 17.

Tin tặc Trung Quốc dùng trang web của Microsoft để tấn công Mỹ - 1

Kỹ thuật này yêu cầu một máy tính bị nhiễm liên lạc với một tên miền trung gian thường được sử dụng. Thường là các tin tặc muốn các thiết bị nhiễm malware liên hệ với một tên miền ít có khả năng gây nghi ngờ, trước khi chuyển đến một tên miền ít uy tín hơn.

“Rất bình thường nếu thấy có rất nhiều truy cập vào trang techNet,” Bryce Boland, Giám đốc công nghệ văn phòng châu Á – Thái Bình Dương của TechNet nói.

Đôi lúc, các tên miền ra lệnh và điều khiển này được nhúng trong những malware, nhưng các chuyên gia bảo mật máy tính rất dễ phát hiện ra. Những malware khác được mã hóa với một thuật toán tạo ra các tên miền mà nó nên liên hệ, nhưng cũng dễ bị phát hiện bởi những nhà phân tích.

Các chuyên gia bảo mật đã chứng kiến tin tặc sử dụng những tên miền và dịch vụ hợp pháp, ví dụ như Google Docs và Twitter, vào những cuộc tấn công với mục đích tương tự như APT 17.

FireEye và Microsoft đã thay thế các tên miền mã hóa trên TechNet với những tên miền mà các công ty này kiểm soát, giúp họ phát hiện vấn đề khi những máy tính bị nhiễm liên hệ tới các tên miền này.

APT17 đã “nhắm vào khách hàng của chúng tôi trong nhiều năm,” Boland cho biết.

Những tổ chức này bị tấn công thông qua thủ đoạn lừa đảo phishing, tin tặc gửi email với những liên kết độc hại hoặc tập tin đính kèm nhiễm malware cho nạn nhân.

Trong những năm gần đây, APT17 đã gây lây lan một loại malware có tên gọi BLACKCOFFEE. Phần mềm độc hại này có thể upload tập tin, xóa tập tin, tạo reverse shell trên máy tính, cùng với các tính năng khác.

Theo Huyền Mi (Plo.vn)

Tin đọc nhiều

Chuyện nữ Thứ trưởng về hưu làm startup để... minh bạch thực phẩm "Ở tuổi của tôi khi bắt đầu làm một việc gì đó, thì chỉ là...
Dân mạng ngỡ ngàng khi biết Facebook sẽ không cho phép người dùng xóa bài viết Trên phiên bản web máy tính để bàn, một số người dùng không...
Tòa nhà biến hình lạ đời ở Trung Quốc khiến người đi đường sửng sốt Những người đi đường sẽ không thể rời mắt khỏi chuyển động...
Sở KH&CN TP.HCM bắt tay ngành thuế gỡ khó cho doanh nghiệp Doanh nghiệp mới thành lập có thể nhận được hỗ trợ gì? Muốn...