Xuất hiện mã độc BlackEnergy làm tê liệt hệ thống điện Ukraina
BlackEnergy – Mã độc làm tê liệt hệ thống điện Ukraina
Dạo gần đây nếu ai thường xuyên cập nhật tin tức an ninh mạng trên thế giới sẽ đều biết đến vụ việc Ukraina bị mất điện trên diện rộng vì bị tin tặc tấn công. Thủ phạm chính trong vụ việc ban đầu được xác định là mã độc mang tên “BlackEnergy”.
Cho tới thời điểm hiện tại, các cuộc tấn công nhằm vào các nhà máy điện tại Ukraina vẫn chưa chấm dứt. Ngày 19/1/2016, khi đang theo dõi cuộc tấn công nhằm vào một nhà máy điện tại Ukraina, các chuyên gia bảo mật tại ESET đã phát hiện thêm một mã độc mới mang tên “Gcat backdoor”. Điều đáng nói ở đây là:
– Phương thức lây nhiễm Gcat backdoor rất “kinh điển”. Đầu tiên nạn nhân nhận được một email có đính kèm tập tin Excel, tập tin Excel này được nhúng marco độc hại và đương nhiên bởi vì Excel mặc định Disable Macro nên tác giả không quên tạo một cái thông báo giả trên sheet với nội dung “dẫn dụ” người dùng Enable Macro. Khi Macro được Enable và khởi chạy, một downloader sẽ tải mã độc Gcat backdoor từ máy chủ C&C về và đồng thời thực thi nó.
– Gcat backdoor là một con backdoor mã nguồn mở. Mã nguồn của Gcat được public trên Github. Thậm chí con Gcat này được viết khá đơn giản bằng Python sau đó convert ra Stand-alone Executable bằng PyInstaller.
Riêng điều đáng nói thứ 2 lại làm tôi nhớ đến vụ một nhóm APT đã sử dụng 7 loại mã độc tấn công chính phủ Myanmar hồi tháng 8/2015. Trong 7 mã độc được sử dụng, có một con RAT mang tên “trochilus” cũng được release mã nguồn (hay ít nhất là 1 phần mã nguồn) tại Github trước khi các nhà nghiên cứu biết đến nó lần đầu tiên.
Từ những điều trên chúng ta có thể thấy rằng:Một cuộc tấn công APT đôi khi không quá cao siêu đến nỗi chúng ta chưa từng thấy. Một cuộc tấn công APT đôi khi cực kỳ đơn giản, hiện hữu đến mức ta không ngờ có người sử dụng lại nó.
- Chính vì cái không ngờ đó nên chúng ta bị tấn công.
- Bảo mật không phải chỉ là lo trang bị và chạy đua với công nghệ mới. Bảo mật nên xuất phát từ việc đầu tư vào con người.
- Mấy má dạo này thích release malware công khai trên Github quá nhỉ.
(Theo CEH)