Xtreme RAT nhắm vào Hoa Kỳ, Vương quốc Anh, các chính phủ khác

Nhóm hacker gần đây đã lây nhiễm các máy tính cảnh sát Israel với phần mềm độc hại Xtreme RAT cũng nhắm vào các tổ chức chính phủ từ Mỹ, Anh, và các nước khác, theo các nhà nghiên cứu từ nhà cung cấp chống vi-rút Trend Micro.

Những kẻ tấn công đã gửi tin nhắn giả mạo bằng tệp đính kèm.RAR đến địa chỉ email trong các cơ quan chính phủ được nhắm mục tiêu. Các kho lưu trữ chứa một thực thi độc hại giả mạo như một tài liệu Word, khi chạy, cài đặt phần mềm độc hại Xtreme RAT và mở một tài liệu decoy với một báo cáo tin tức về một cuộc tấn công tên lửa Palestine.

Cuộc tấn công đến ánh sáng vào cuối tháng Mười khi cảnh sát Israel đóng cửa mạng máy tính của họ để làm sạch phần mềm độc hại khỏi hệ thống của nó. Giống như hầu hết các chương trình Trojan truy cập từ xa (RAT), Xtreme RAT cho phép kẻ tấn công kiểm soát máy bị nhiễm và cho phép họ tải lên các tài liệu và các tệp khác quay lại máy chủ của họ.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi máy tính Windows của bạn]

Sau khi phân tích các mẫu phần mềm độc hại được sử dụng trong cuộc tấn công của cảnh sát Israel, các nhà nghiên cứu bảo mật từ nhà cung cấp chống vi-rút Norman đã phát hiện ra một loạt các vụ tấn công cũ từ đầu năm nay và cuối năm 2011 nhắm vào các tổ chức ở Israel và vùng lãnh thổ Palestine. Những phát hiện của họ đã vẽ bức tranh về hoạt động không gian mạng trên mạng được thực hiện bởi cùng một nhóm kẻ tấn công trong khu vực.

Tuy nhiên, theo dữ liệu mới được phát hiện bởi các nhà nghiên cứu từ Trend Micro, phạm vi của chiến dịch có vẻ lớn hơn nhiều. "Chúng tôi phát hiện hai email được gửi từ {BLOCKED}[email protected] vào ngày 11 tháng 11 và ngày 8 tháng 11 mà chủ yếu nhắm mục tiêu Chính phủ Israel", nhà nghiên cứu mối đe dọa cấp cao Trend Micro Nart Villeneuve, cho biết trong một bài đăng trên blog vào đầu tuần này. "Một trong những email đã được gửi đến 294 địa chỉ email."

"Trong khi phần lớn các email được gửi đến Chính phủ Israel tại 'mfa.gov.il' [Bộ Ngoại giao Israel], 'idf. gov.il '[Lực lượng Phòng vệ Israel] và' mod.gov.il '[Bộ Quốc phòng Israel], một số tiền đáng kể cũng được gửi đến Chính phủ Hoa Kỳ tại địa chỉ email' state.gov '[Bộ Ngoại giao Hoa Kỳ], "Villeneuve nói. "Các mục tiêu khác của chính phủ Hoa Kỳ cũng bao gồm địa chỉ email 'senate.gov' [Thượng viện Hoa Kỳ] và 'house.gov' [Hạ viện Hoa Kỳ]. Email này cũng được gửi đến email 'usaid.gov' [Cơ quan Phát triển Quốc tế Hoa Kỳ] "

Danh sách các mục tiêu cũng bao gồm 'fco.gov.uk' (Văn phòng Ngoại giao và Ngoại giao Anh) và địa chỉ email 'mfa.gov.tr' (Bộ Ngoại giao Thổ Nhĩ Kỳ), cũng như địa chỉ từ chính phủ các tổ chức ở Slovenia, Macedonia, New Zealand và Latvia, nhà nghiên cứu cho biết. Một số tổ chức phi chính phủ như BBC và Văn phòng đại diện Quartet cũng được nhắm mục tiêu.

Các động cơ không rõ ràng

Các nhà nghiên cứu Trend Micro đã sử dụng siêu dữ liệu từ tài liệu mồi để theo dõi một số tác giả của họ. Một trong số họ đã sử dụng bí danh "aert" để nói về các ứng dụng phần mềm độc hại khác nhau bao gồm DarkComet và Xtreme RAT hoặc để trao đổi hàng hóa và dịch vụ với các thành viên diễn đàn khác, Villeneuve nói.

Tuy nhiên, động cơ của những kẻ tấn công vẫn chưa rõ ràng. Nếu, sau báo cáo của Norman, người ta có thể đã suy đoán rằng những kẻ tấn công có một chương trình nghị sự chính trị gắn liền với Israel và vùng lãnh thổ Palestine, sau những phát hiện mới nhất của Trend Micro. Theo ông Ivan Macalintal, nhà nghiên cứu về mối đe dọa cao cấp và nhà truyền bá an ninh tại Trend Micro, thứ Sáu qua email, các động cơ của họ không rõ ràng vào thời điểm này sau khi phát hiện ra sự phát triển mới nhất này.

Trend Micro đã không kiểm soát bất kỳ máy chủ lệnh và điều khiển nào (C & C) được sử dụng bởi những kẻ tấn công để xác định dữ liệu nào đang bị lấy cắp từ máy tính bị nhiễm, nhà nghiên cứu cho biết thêm rằng không có kế hoạch làm như vậy vào lúc này.

Các công ty bảo mật đôi khi làm việc với các nhà cung cấp miền để trỏ tên miền C & C được kẻ tấn công sử dụng đến địa chỉ IP dưới sự kiểm soát của họ. Quá trình này được gọi là "chìm" và được sử dụng để xác định có bao nhiêu máy tính bị nhiễm một mối đe dọa cụ thể và loại thông tin mà các máy tính đó gửi lại cho các máy chủ điều khiển.

"Chúng tôi đã liên lạc và đang làm việc với CERTs [đội phản ứng khẩn cấp máy tính] cho các tiểu bang cụ thể bị ảnh hưởng và chúng tôi sẽ xem nếu có thực sự bất kỳ thiệt hại được thực hiện, "Macalintal nói. "Chúng tôi vẫn đang tích cực theo dõi chiến dịch kể từ bây giờ và sẽ đăng các bản cập nhật cho phù hợp."