Symantec vừa công bố báo cáo về hoạt động của băng nhóm Elderwood Project, đang tấn công các doanh nghiệp quốc phòng của Mỹ và nhiều nước khác.
Symantec theo dõi Elderwood Project từ năm 2009 và gọi nhóm này là 'chưa từng thấy'. Các cuộc tấn công của Elderwood Project nhắm vào chuỗi cung ứng của các doanh nghiệp quốc phòng, chủ yếu là những công ty hàng đầu trong lĩnh vực này.
Symantec cho biết mục đích chính của những người đứng sau Elderwood Project là theo dõi các công ty nhằm đánh cắp kế hoạch công tác, các hợp đồng, thông tin về hạ tầng, và các bí mật về sở hữu trí tuệ.
Symantec không nêu các mục tiêu cụ thể của các cuộc tấn công của Elderwood Project, nhưng nói rõ rằng các công ty bị tấn công sản xuất các thành phần cơ khí và điện tử, và các hệ thống vũ khí theo đặt hàng của các công ty quốc phòng hàng đầu ở Mỹ.
Các chuyên gia cho rằng những người điều khiển các cuộc tấn công đều lợi dụng mức độ bảo vệ không cao của các nhà sản xuất linh kiện so với các công ty lớn. Ngoài các công ty thuộc khối quốc phòng, Symantec còn liệt kê tên các công ty dầu khí, các cơ sở đào tạo và tổ chức chính phủ của Mỹ là các mục tiêu tấn công của Elderwood Project.
Elderwood Project cũng nhắm vào các công ty của Canada, Trung Quốc, Hồng Kông và Australia cũng như các tổ chức phi chính phủ làm việc trong các lĩnh vực bảo vệ quyền con người ở Trung Quốc và các lãnh thổ Đài Loan, Hồng Kông.
Đặc điểm của Elderwood Project là họ sở hữu số lượng lớn các lỗ hổng "Zero Day". Công nghiệp bảo mật không có dữ liệu về những lỗ hổng "Zero Day" nên việc chống lại chúng gặp khó khăn.
Nếu sâu Stuxnet nổi tiếng tấn công các công trình công nghiệp hạt nhân của Iran chỉ sử dụng 4 lỗ hổng "Zero Day" thì trong Elderwood Project năm 2011 đã có 8 lỗ hổng "Zero Day".
Trong số các sản phẩm bị tấn công "Zero Day", Symantec nêu tên Microsoft Internet Explorer 8, Adobe Flash Player các phiên bản trên các nền tảng khác nhau bao gồm Linux và Microsoft XML Core Services.
Việc sử dụng nhiều lỗ hổng "Zero Day" như vậy chứng tỏ mức độ chuẩn bị rất cao của bên tấn công, theo Symantec. Các chuyên gia của Symantec cho rằng, các hacker phát triển Elderwood Project hoặc là đã có quyền truy cập vào các mã nguồn của các ứng dụng phần mềm nổi tiếng hoặc là đã biên soạn lại mã nguồn - việc đòi hỏi phải có rất rất nhiều nguồn lực quan trọng.
"Trước đây, chúng tôi chưa bao giờ phát hiện ra điều tương tự" - Huffington Post trích lời Orla Cox, trưởng bộ phận về an toàn thông tin của Symantec. "Có ai đó đã trả tiền cho họ làm chuyện này", bà Orla Cox nói. "Xác định vị trí của các tác giả tấn công mạng rất khó", Orla Cox nói tiếp. "Họ che dấu vết rất giỏi bằng cách sử dụng các máy chủ proxy và các máy chủ ở các nước khác nhau. Chỉ tội phạm có tổ chức hay quốc gia nào đó mới có thể đủ tiền hỗ trợ cho hoạt động tương tự".
Cần lưu ý rằng, giả thuyết liên quan đến quyền truy cập vào mã nguồn sản phẩm tỏ ra là có khả năng cao, vì các chuyên gia của Symantec liên tưởng các hacker của Elderwood Project với các tác giả của trojan Aurora - từng tấn công đánh cắp mã nguồn của Google, Adobe và các nhà sản xuất phần mềm lớn khác hồi năm 2009.
Trong các tài liệu công bố, Symantec nêu 2 hướng lây nhiễm Elderwood Project sang các máy tính mục tiêu. Ngoài cách gửi trực tiếp bằng email lừa đảo thông thường, Elderwood Project ứng dụng chiến thuật "watering hole" (tìm hiểu về nạn nhân và các website họ thường truy cập, sau đó xem website nào có lỗ hổng thì cài mã độc vào hoặc chuyển hướng nạn nhân sang một website khác đã có sẵn mã độc, rồi chờ cho máy tính của nạn nhân bị nhiễm độc thì bắt đầu khai thác, giống như con thú ngồi rình mồi bên hố nước - watering hole).
Trong báo cáo của mình về hoạt động của Elderwood Project, Symantec cảnh báo tất cả công ty nằm trong lĩnh vực quốc phòng, bao gồm các công ty con và đối tác, đều có nguy cơ bị tấn công như nhau.
Trong năm 2013, thế giới sẽ hứng chịu giai đoạn tấn công mới sử dụng lỗ hổng "Zero Day" trong Adobe Flash vả Internet Explorer.
Theo PCWorld VN/CNews.ru
Bình luận