GS Viá»n Hà n lâm Nga vá» Viá»t Nam là m viá»n trÆ°á»ng công nghá» cao
Các cuộc tấn công MiniDuke mới sử dụng cùng một khai thác được xác định bởi FireEye, nhưng với một số sửa đổi nâng cao, Costin Raiu, giám đốc nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab, hôm thứ Tư. Điều này có thể gợi ý rằng những kẻ tấn công có quyền truy cập vào bộ công cụ đã được sử dụng để tạo ra bản gốc.
Các tệp PDF độc hại là các bản sao báo cáo giả mạo với nội dung liên quan đến các tổ chức được nhắm mục tiêu và bao gồm báo cáo (ASEM) hội thảo về nhân quyền, một báo cáo về kế hoạch hành động thành viên NATO của Ukraine, một báo cáo về chính sách đối ngoại khu vực của Ukraine và một báo cáo về Hiệp hội kinh tế Armenia năm 2013, và nhiều hơn nữa.
Nếu khai thác thành công, các tập tin PDF giả mạo cài đặt một phần mềm độc hại được mã hóa với thông tin được thu thập từ hệ thống bị ảnh hưởng. Kỹ thuật mã hóa này cũng được sử dụng trong phần mềm độc hại gián điệp của Gauss và ngăn phần mềm độc hại phân tích trên một hệ thống khác, Raiu nói. Nếu chạy trên một máy tính khác, phần mềm độc hại sẽ thực thi, nhưng sẽ không khởi tạo chức năng độc hại của nó,
Một khía cạnh thú vị khác của mối đe dọa này là nó chỉ có kích thước 20KB và được viết bằng Assembler, một phương pháp hiếm khi được sử dụng ngày hôm nay bởi người sáng tạo phần mềm độc hại. Kích thước nhỏ của nó cũng không bình thường khi so sánh với kích thước của phần mềm độc hại hiện đại, Raiu nói.Phần mềm độc hại được cài đặt trong giai đoạn đầu tiên của cuộc tấn công này kết nối với các tài khoản Twitter cụ thể có chứa các lệnh được mã hóa trỏ đến bốn trang web hoạt động như lệnh-và- máy chủ điều khiển. Các trang web này, được lưu trữ ở Hoa Kỳ, Đức, Pháp và Thụy Sĩ, lưu trữ các tệp GIF được mã hóa chứa chương trình backdoor thứ hai.
Cửa sau thứ hai là bản cập nhật cho đầu tiên và kết nối lại với máy chủ điều khiển và lệnh để tải xuống một chương trình backdoor khác được thiết kế độc đáo cho từng nạn nhân. Tính đến hôm thứ Tư, các máy chủ điều khiển và kiểm soát được lưu trữ năm chương trình backdoor khác nhau cho năm nạn nhân duy nhất ở Bồ Đào Nha, Ukraine, Đức và Bỉ, Raiu cho biết. Raiu cho biết, những người đứng sau chiến dịch gián điệp mạng MiniDuke đã hoạt động từ ít nhất là tháng 4 năm 2012, khi một trong những tài khoản Twitter đặc biệt được tạo ra lần đầu tiên. Tuy nhiên, có thể hoạt động của họ đã tinh tế hơn cho đến gần đây, khi họ quyết định tận dụng lợi thế của Adobe Reader mới khai thác để thỏa hiệp càng nhiều tổ chức càng tốt trước khi các lỗ hổng bị vá, ông nói.Các phần mềm độc hại được sử dụng trong các cuộc tấn công mới là duy nhất và chưa từng thấy trước đây, vì vậy nhóm có thể đã sử dụng phần mềm độc hại khác nhau trong quá khứ, Raiu nói. Đánh giá bởi nhiều mục tiêu và bản chất toàn cầu của các cuộc tấn công, những kẻ tấn công có thể có một chương trình nghị sự lớn, ông nói.
Các nạn nhân của MiniDuke bao gồm các tổ chức từ Bỉ, Brazil, Bulgaria, Cộng hòa Séc, Georgia, Đức, Hungary, Ireland, Israel, Nhật Bản, Latvia, Lebanon, Lithuania, Montenegro, Bồ Đào Nha, Romania, Nga, Slovenia, Tây Ban Nha, Thổ Nhĩ Kỳ, Ukraina, Vương quốc Anh và Hoa Kỳ.
Tại Hoa Kỳ, một viện nghiên cứu, hai người Mỹ Raiu cho biết, các xe tăng và công ty chăm sóc sức khỏe đã bị ảnh hưởng bởi cuộc tấn công này, Raiu nói mà không đặt tên bất kỳ nạn nhân nào.
Cuộc tấn công không phức tạp như Flame hay Stuxnet, nhưng vẫn là cấp cao. Không có dấu hiệu nào về việc kẻ tấn công có thể hoạt động từ đâu hoặc họ có thể phục vụ gì.
Điều đó nói lên, phong cách mã hóa backdoor gợi nhớ đến một nhóm các nhà văn phần mềm độc hại được gọi là 29A, được cho là không tồn tại kể từ năm 2008. "666" chữ ký trong mã và 29A là đại diện hệ thập lục phân của 666, Raiu nói.
Một giá trị "666" cũng được tìm thấy trong phần mềm độc hại được sử dụng trong các cuộc tấn công trước đó được phân tích bởi FireEye, nhưng mối đe dọa khác với MiniDuke, Raiu nói. Câu hỏi về việc hai cuộc tấn công có liên quan vẫn còn mở hay không.
Tin tức về chiến dịch gián điệp không gian mạng này xuất hiện trên các cuộc thảo luận mới về mối đe dọa gián điệp mạng, đặc biệt là ở Mỹ. công ty bảo mật Mandiant. Bản báo cáo chứa đựng các chi tiết về hoạt động kéo dài một năm của một nhóm các kẻ tấn công mạng được đặt tên là Bình luận viên mà Mandiant tin là một cyberunit bí mật của Quân đội Trung Quốc. Raiu nói rằng không ai trong số các nạn nhân của MiniDuke được xác định cho đến nay là từ Trung Quốc, nhưng từ chối suy đoán về tầm quan trọng của thực tế này. Các nhà nghiên cứu bảo mật tuần trước từ các công ty khác xác định các cuộc tấn công nhắm mục tiêu phân phối cùng một PDF khai thác giả mạo như các bản sao của báo cáo Mandiant.
Các cuộc tấn công đã cài đặt phần mềm độc hại rõ ràng về nguồn gốc Trung Quốc. Tuy nhiên, cách thức mà việc khai thác được sử dụng trong các cuộc tấn công đó là rất thô lỗ và phần mềm độc hại không phức tạp khi so sánh với MiniDuke, ông nói.
[ĐọC thêm: Làm thế nào để loại bỏ phần mềm độc hại từ máy tính Windows của bạn "Các thông tin hiện nay thuộc lĩnh vực công cộng cho thấy rằng [DOJ] có thể tham gia vào việc theo dõi cá nhân bất hợp pháp và có thể trái với hiến pháp thông qua điện thoại di động của họ", ACLU và EFF cho biết trong đơn khiếu nại của họ. "Thông tin liên quan đến các thủ tục của DOJ để thu thập thông tin theo dõi theo thời gian thực là rất quan trọng đối với sự hiểu biết của công chúng về rủi ro về quy
![[ĐọC thêm: Làm thế nào để loại bỏ phần mềm độc hại từ máy tính Windows của bạn "Các thông tin hiện nay thuộc lĩnh vực công cộng cho thấy rằng [DOJ] có thể tham gia vào việc theo dõi cá nhân bất hợp pháp và có thể trái với hiến pháp thông qua điện thoại di động của họ", ACLU và EFF cho biết trong đơn khiếu nại của họ. "Thông tin liên quan đến các thủ tục của DOJ để thu thập thông tin theo dõi theo thời gian thực là rất quan trọng đối với sự hiểu biết của công chúng về rủi ro về quy](https://i.joecomp.com/security-2018/aclu-eff-sue-us-gov-t-over-mobile-phone-tracking.png "[ĐọC thêm: Làm thế nào để loại bỏ phần mềm độc hại từ máy tính Windows của bạn \"Các thông tin hiện nay thuộc lĩnh vực công cộng cho thấy rằng [DOJ] có thể tham gia vào việc theo dõi cá nhân bất hợp pháp và có thể trái với hiến pháp thông qua điện thoại di động của họ\", ACLU và EFF cho biết trong đơn khiếu nại của họ. \"Thông tin liên quan đến các thủ tục của DOJ để thu thập thông tin theo dõi theo thời gian thực là rất quan trọng đối với sự hiểu biết của công chúng về rủi ro về quy"){kind=tracking}
ACLU đã đệ trình yêu cầu thông tin về chương trình theo dõi, theo Đạo luật Tự do Thông tin Hoa Kỳ, vào tháng 11, nhưng DOJ chưa đưa ra các tài liệu yêu cầu, nhóm nói
Các nhà cung cấp nhắm mục tiêu đến các vụ kiện không được đặt tên cho đến thứ Hai, nhưng Tổng Chưởng lý Washington (AG) đã giới thiệu họ trong một phương tiện truyền thông cảnh báo đã được gửi đi vào thứ Sáu là "những nhà tiếp thị hiếu chiến về các chương trình máy tính scareware - vô ích mà làm cho người tiêu dùng bằng cách sử dụng các quảng cáo pop-up để cảnh báo về các thiếu sót máy tính không tồn tại, nhưng khẩn cấp, có vấn đề". Đọc: Làm thế nào để loại bỏ phần mềm độc hại khỏi máy
ĐâY không phải là lần đầu tiên Microsoft và Washington AG hợp tác để chống lại scareware. Vào năm 2005, họ đã cùng nhau kiện Secure Computer, một công ty phần mềm bảo mật mà họ cáo buộc sử dụng các thông báo lỗi giả mạo để khiến người dùng hoảng sợ khi mua phần mềm Spyware Cleaner. Bảo mật Máy tính cuối cùng đã thanh toán 1 triệu USD để giải quyết các khoản phí.
Con ngựa Trojan tiếp tục gian lận nhấp chuột, lừa đảo trong đó quảng cáo trên web được nhấp vào quá mức hoặc trong các trường hợp gây hiểu lầm theo thứ tự Joe Stewart, giám đốc phân tích phần mềm độc hại tại SecureWorks, đã viết Joe Anderson, giám đốc phân tích phần mềm độc hại tại SecureWorks, cho biết, phần mềm độc hại có tên là "FFSearcher" là một trong những phần mềm thông minh hơn. trên một blog của công ty.
[ĐọC thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]