Hacker đang nhắm vào các hãng năng lượng

Hacker đang sử dụng một trojan truy cập từ xa (RAT) có tên là Mirage từng tham gia một chiến dịch gián điệp mạng tinh vi đối với một công ty năng lượng Canada, một công ty dầu khí lớn Philippin và một số công ty khác ít nhất là từ tháng Tư vừa qua.;

Theo PCWorld, chiến dịch này là một trong những vụ tấn công nhắm mục tiêu vào các công ty dầu mỏ được bộ phận ứng phó an ninh mạng SecureWorks Counter Threat Unit của Dell phát hiện trong năm nay. Trong tháng Hai, các chuyên gia này cũng đã phát hiện ra kẻ tấn công sử dụng công cụ điều khiển từ xa tương tự như Mirage để tấn công vào một số công ty dầu khí tại Việt Nam. Chiến dịch đó cũng nhắm mục tiêu vào cơ quan chính phủ tại một vài quốc gia, một đại sứ quán, một cơ quan an toàn hạt nhân và nhiều nhóm doanh nghiệp.

SecureWorks cho rằng tên miền cho 3 máy chủ câu lệnh và kiểm soát (Command & Control/ C&C) được sử dụng để kiểm soát Mirage và cho một vài máy chủ C&C đã được sử dụng trong chiến dịch tháng Hai có vẻ như thuộc về cùng một cá nhân hoặc một nhóm.

Một điều đáng chú ý khác đó là trong thực tế các địa chỉ IP của các máy chủ C&C được sử dụng kiểm soát Mirage và cho chiến dịch tháng Hai vừa qua thuộc về Beijing Province Network (Trung Quốc). Một mạng tương tự cũng liên quan đến các cuộc tấn công vào hãng bảo mật RSA năm ngoái, lấy đi các thông tin bí mật liên quan đến công nghệ xác thực hai yếu tố SecurID của công ty này.

Joe Stewart, nhà nghiên cứu của SecureWorks cho biết: "Máy chủ C&C có liên quan đến chiến dịch GhostNet năm 2009 tấn công vào các máy tính điều hành của hơn 100 công ty có địa chỉ IP trong cùng một mạng lưới. Bằng chứng này cho thấy có cùng một nhóm người đứng sau chiến dịch gián điệp thông tin mạng sâu rộng này".

Chiến dịch sử dụng Mirage mới đây nhất đã ảnh hưởng tới các công ty ở Canada, Philippin, một tổ chức quân sự ở Đài Loan và một số mục tiêu không xác định tại Nigeria, Ai Cập, Brazil và Israel, theo ông Stewart.

Theo SecureWorks, trojan Mirage rất "xảo quyệt" và được thiết kế để tránh bị phát hiện. Tất cả liên lạc của nó với máy chủ C&C được nguỵ trang để xuất hiện giống như các mẫu lưu lượng URL liên quan đến tìm kiếm Google.

Những kẻ đứng phía sau hoạt động gián điệp này đã sử dụng email lừa đảo để đánh lừa các quản trị viên từ cấp trung tới cao cấp tại doanh nghiệp mục tiêu kích vào các tập tin đính kèm có chứa mã độc Mirage, để chúng tự động cài đặt lên hệ thống của họ. Ví dụ, một trong những email được sử dụng trong chiến dịch có một tập tin .pdf đưa tin về câu chuyện nổi bật nào đó.

Trong vài tháng qua, các nhà nghiên cứu tại SecureWorks đã phát hiện ra một vài biến thể được tuỳ chỉnh của Mirage được thiết kế để tránh bị phát hiện bởi các phần mềm diệt virus hoặc phần mềm chống mã độc.

Một nhà phân tích khác của SecureWorks là Silas Cutler đã viết trong một cảnh báo rằng: "Một trong những biến thể được tìm thấy trong một tập hợp các mẫu được sửa đổi đặc biệt dành cho môi trường đã được nhắm mục tiêu bởi các tác nhân đe doạ. Những mẫu này đã được cấu hình với các thông tin mặc định cho mục tiêu là các máy chủ web proxy của môi trường".

Hoàng Kỷ