Nhóm tình báo công nghiệp SowBug đánh cắp bí mật ngoại giao từ năm 2015

08:50 | 28/11/2017
(theo The Hacker News)

Mới đây, các nhà nghiên cứu của công ty bảo mật Symantec phát hiện một nhóm tin tặc và tình báo công nghiệp đã thực hiện một chuỗi các cuộc tấn công vào các cơ quan chính phủ ở Nam Mỹ và Đông Nam Á nhằm đánh cắp thông tin nhạy cảm từ năm 2015.

Nhóm tin tặc này được các nhà nghiên cứu Symantec đặt tên là Sowbug. Nhóm tin tặc đã bí mật tấn công các tổ chức chính sách ngoại giao, cơ quan chính phủ và các cơ sở ngoại giao ở nhiều nước, trong đó có Argentina, Brazil, Ecuador, Peru và Malaysia.

Symantec phát hiện nhóm Sowbug dùng mã độc có tên là Felismus để tấn công và xâm nhập các tổ chức. Được tìm ra lần đầu vào cuối tháng 3/2017, Felismus là một loại Trojan cho phép truy cập từ xa (RAT) tinh vi, có cấu trúc môđun hoá, nên có thể ẩn náu và mở rộng các tính năng.

Mã độc này cho phép kẻ xấu chiếm quyền kiểm soát toàn bộ hệ thống bị lây nhiễm và cũng giống như các loại RAT khác, nó cho phép kẻ xấu liên lạc với máy chủ ở xa, tải xuống và thực thi các lệnh.

Khi phân tích Felismus, các nhà nghiên cứu biết được dấu tích các chiến dịch tấn công trước đó với nhóm Sowbug, điều đó cho thấy, nhóm này đã hoạt động từ khoảng đầu năm 2015 và thậm chí là trước đó.

Báo cáo của Symantec cho biết, Sowbug dường như tập trung vào các cơ quan chính phủ ở Nam Mỹ và Đông Nam Á. Nhóm này có nguồn lực tốt, có khả năng xâm nhập đồng thời nhiều mục tiêu và thường hoạt động ngoài giờ làm việc của các mục tiêu.

Tuy vẫn chưa rõ nhóm Sowbug đã làm thế nào để xâm nhập mạng máy tính của các tổ chức, nhưng qua các bằng chứng thu thập được, các nhà nghiên cứu suy đoán rằng, tin tặc đã sử dụng các bản vá giả của Windows hay Adobe Reader. Các nhà nghiên cứu cũng phát hiện nhóm tin tặc này sử dụng công cụ có tên là Starloader để triển khai mã độc và các công cụ bổ sung như phần mềm thu thập thông tin đăng nhập và keylogger tới mạng của các nạn nhân.

Các nhà nghiên cứu đã tìm thấy bằng chứng các tệp Starloader được phát tán như bản cập nhật phần mềm với những cái tên như AdobeUpdate.exe, AcrobatUpdate.exe, INTELUPDATE.EXE,… Thay vì lây nhiễm vào các phần mềm, Sowbug đặt tên các công cụ của nhóm gần giống với các phần mềm hợp pháp và đặt các công cụ đó vào các thư mục có tên tương tự để đánh lừa người dùng. Mẹo này giúp tin tặc che giấu mã độc và khiến người dùng không nghi ngờ gì.

Nhóm Sowbug đã áp dụng nhiều biện pháp để tránh bị phát hiện như thực hiện các hoạt động gián điệp ngoài giờ hành chính. Trong một trường hợp, nhóm tin tặc đã ẩn mình và không bị phát hiện trong mạng của nạn nhân tới 6 tháng (từ tháng 9/2016 tới tháng 3/2017).

Ngoài thông tin về việc phân phối mã độc Felismus, danh tính của những tin tặc trong nhóm Sowbug vẫn chưa được tìm ra.