Thảo Nông
Writer
Theo Microsoft, một nhóm hacker Triều Tiên hồi đầu tháng 8 đã khai thác một lỗi chưa từng được biết đến trước đây trong các trình duyệt dựa trên Chrome để nhắm mục tiêu vào các tổ chức với mục tiêu đánh cắp tiền điện tử.
Trong một báo cáo được công bố vào thứ Sáu vừa qua, các nhà nghiên cứu an ninh mạng của Microsoft cho biết họ lần đầu tiên nhìn thấy bằng chứng về hoạt động của tin tặc vào ngày 19 tháng 8 và cho biết các tin tặc có liên kết với một nhóm có tên là Citrine Sleet, vốn thường được biết đến là tổ chức tin tặc chuyên nhắm mục tiêu vào ngành công nghiệp tiền điện tử.
Theo báo cáo, tin tặc đã khai thác lỗ hổng trong công cụ cốt lõi của Chrome, mã cơ bản của Chrome và các trình duyệt phổ biến khác, như Edge của Microsoft. Khi tin tặc khai thác lỗ hổng này, đó là thời điểm zero-day, có nghĩa là nhà sản xuất phần mềm - trong trường hợp này là Google - không biết về lỗi này và do đó không có thời gian để đưa ra bản sửa lỗi trước khi khai thác. Google đã vá lỗi này hai ngày sau đó vào ngày 21 tháng 8, theo Microsoft.
Người phát ngôn của Google Scott Westover nói với TechCrunch rằng Google không có bình luận nào ngoài việc xác nhận rằng lỗi đã được vá.
Microsoft cho biết họ đã thông báo cho “những khách hàng bị nhắm mục tiêu và bị xâm phạm”, nhưng không cung cấp thêm thông tin về ai là mục tiêu cũng như số lượng mục tiêu và nạn nhân là mục tiêu của chiến dịch hack này.
Khi được TechCrunch hỏi, Chris Williams, người phát ngôn của Microsoft, từ chối cho biết có bao nhiêu tổ chức hoặc công ty bị ảnh hưởng.
Các nhà nghiên cứu đã viết rằng Citrine Sleet “có trụ sở tại Bắc Triều Tiên và chủ yếu nhắm vào các tổ chức tài chính, đặc biệt là các tổ chức và cá nhân quản lý tiền điện tử để thu lợi tài chính” và nhóm “đã tiến hành khảo sát sâu rộng ngành công nghiệp tiền điện tử và các cá nhân liên quan đến nó” như một phần của kỹ thuật kỹ thuật xã hội của nó.
Báo cáo cho biết: “Tác nhân đe dọa tạo ra các trang web giả mạo dưới dạng nền tảng giao dịch tiền điện tử hợp pháp và sử dụng chúng để phân phối các đơn xin việc giả hoặc dụ dỗ các mục tiêu tải xuống ví tiền điện tử được vũ khí hóa hoặc ứng dụng giao dịch dựa trên các ứng dụng hợp pháp”. “Citrine Sleet thường lây nhiễm các mục tiêu bằng phần mềm độc hại trojan độc nhất mà nó phát triển, AppleJeus, thu thập thông tin cần thiết để giành quyền kiểm soát tài sản tiền điện tử của mục tiêu.”
Cuộc tấn công của tin tặc Triều Tiên bắt đầu bằng việc lừa nạn nhân truy cập vào một miền web do tin tặc kiểm soát. Sau đó, do một lỗ hổng khác trong nhân Windows, tin tặc đã có thể cài đặt rootkit - một loại phần mềm độc hại có quyền truy cập sâu vào hệ điều hành - trên máy tính của mục tiêu, theo báo cáo của Microsoft.
Vào thời điểm đó, về cơ bản, trò chơi đối với dữ liệu của nạn nhân được nhắm mục tiêu đã kết thúc vì tin tặc đã giành được quyền kiểm soát hoàn toàn máy tính bị tấn công.
Tiền điện tử đã trở thành mục tiêu hấp dẫn của tin tặc chính phủ Triều Tiên trong nhiều năm. Một hội đồng của Hội đồng Bảo an Liên Hợp Quốc đã kết luận rằng chế độ này đã đánh cắp 3 tỷ đô la tiền điện tử từ năm 2017 đến năm 2023. Cho rằng chính phủ Kim Jong Un là mục tiêu của các lệnh trừng phạt quốc tế nghiêm ngặt, chế độ này đã chuyển sang đánh cắp tiền điện tử để tài trợ cho chương trình vũ khí hạt nhân của mình.
Trong một báo cáo được công bố vào thứ Sáu vừa qua, các nhà nghiên cứu an ninh mạng của Microsoft cho biết họ lần đầu tiên nhìn thấy bằng chứng về hoạt động của tin tặc vào ngày 19 tháng 8 và cho biết các tin tặc có liên kết với một nhóm có tên là Citrine Sleet, vốn thường được biết đến là tổ chức tin tặc chuyên nhắm mục tiêu vào ngành công nghiệp tiền điện tử.
Theo báo cáo, tin tặc đã khai thác lỗ hổng trong công cụ cốt lõi của Chrome, mã cơ bản của Chrome và các trình duyệt phổ biến khác, như Edge của Microsoft. Khi tin tặc khai thác lỗ hổng này, đó là thời điểm zero-day, có nghĩa là nhà sản xuất phần mềm - trong trường hợp này là Google - không biết về lỗi này và do đó không có thời gian để đưa ra bản sửa lỗi trước khi khai thác. Google đã vá lỗi này hai ngày sau đó vào ngày 21 tháng 8, theo Microsoft.
Người phát ngôn của Google Scott Westover nói với TechCrunch rằng Google không có bình luận nào ngoài việc xác nhận rằng lỗi đã được vá.
Microsoft cho biết họ đã thông báo cho “những khách hàng bị nhắm mục tiêu và bị xâm phạm”, nhưng không cung cấp thêm thông tin về ai là mục tiêu cũng như số lượng mục tiêu và nạn nhân là mục tiêu của chiến dịch hack này.
Khi được TechCrunch hỏi, Chris Williams, người phát ngôn của Microsoft, từ chối cho biết có bao nhiêu tổ chức hoặc công ty bị ảnh hưởng.
Các nhà nghiên cứu đã viết rằng Citrine Sleet “có trụ sở tại Bắc Triều Tiên và chủ yếu nhắm vào các tổ chức tài chính, đặc biệt là các tổ chức và cá nhân quản lý tiền điện tử để thu lợi tài chính” và nhóm “đã tiến hành khảo sát sâu rộng ngành công nghiệp tiền điện tử và các cá nhân liên quan đến nó” như một phần của kỹ thuật kỹ thuật xã hội của nó.
Báo cáo cho biết: “Tác nhân đe dọa tạo ra các trang web giả mạo dưới dạng nền tảng giao dịch tiền điện tử hợp pháp và sử dụng chúng để phân phối các đơn xin việc giả hoặc dụ dỗ các mục tiêu tải xuống ví tiền điện tử được vũ khí hóa hoặc ứng dụng giao dịch dựa trên các ứng dụng hợp pháp”. “Citrine Sleet thường lây nhiễm các mục tiêu bằng phần mềm độc hại trojan độc nhất mà nó phát triển, AppleJeus, thu thập thông tin cần thiết để giành quyền kiểm soát tài sản tiền điện tử của mục tiêu.”
Cuộc tấn công của tin tặc Triều Tiên bắt đầu bằng việc lừa nạn nhân truy cập vào một miền web do tin tặc kiểm soát. Sau đó, do một lỗ hổng khác trong nhân Windows, tin tặc đã có thể cài đặt rootkit - một loại phần mềm độc hại có quyền truy cập sâu vào hệ điều hành - trên máy tính của mục tiêu, theo báo cáo của Microsoft.
Vào thời điểm đó, về cơ bản, trò chơi đối với dữ liệu của nạn nhân được nhắm mục tiêu đã kết thúc vì tin tặc đã giành được quyền kiểm soát hoàn toàn máy tính bị tấn công.
Tiền điện tử đã trở thành mục tiêu hấp dẫn của tin tặc chính phủ Triều Tiên trong nhiều năm. Một hội đồng của Hội đồng Bảo an Liên Hợp Quốc đã kết luận rằng chế độ này đã đánh cắp 3 tỷ đô la tiền điện tử từ năm 2017 đến năm 2023. Cho rằng chính phủ Kim Jong Un là mục tiêu của các lệnh trừng phạt quốc tế nghiêm ngặt, chế độ này đã chuyển sang đánh cắp tiền điện tử để tài trợ cho chương trình vũ khí hạt nhân của mình.
