• Yamha
  • Xuất hiện mã độc mới

    10:4010/03/2017

    (ĐTTD) Sau cuộc tấn công của phần mềm độc hại Shamoon, các chuyên gia của Kaspersky đã phát hiện ra một loại mã độc xóa dữ liệu mới nhắm vào Đông Âu và cho thấy sự quan tâm đến các mục tiêu ở Châu Âu.

    Loại mã độc vô cùng tinh vi này có tên gọi là StoneDrill. Cũng như một loại mã độc xóa dữ liệu khét tiếng khác là Shamoon, nó sẽ phá hủy mọi thứ trên máy tính bị lây nhiễm. StoneDrill cũng rất đặc biệt với kĩ thuật chống phát hiện cao cấp và những công cụ gián điệp của nó. Ngoài mục tiêu ở Trung Đông, một mục tiêu khác của StoneDrill được phát hiện là Châu Âu, nơi mà những mã độc xóa dữ liệu đã sử dụng ở Đông Âu chưa bị phát hiện.

    Được biết, năm 2012, Shamoon (còn được biết đến là Disttrack) đã vô cùng nổi tiếng vì từng tấn công hơn 35.000 máy tính của công ty dầu khí ở Trung Đông. Cuộc tấn công này đã khiến 10% nguồn cung cấp dầu mỏ của thế giới có nguy cơ bị nguy hiểm. Tuy nhiên, sự cố này chỉ mới là khởi đầu, sau đó mọi chuyện càng trở nên nghiêm trọng hơn. Vào cuối năm 2016, nó trở lại dưới tên gọi là Shamoon 2.0, một chiến dịch mã độc sâu rộng hơn sử dụng phiên bản cập nhật của mã độc năm 2012.Trong quá trình nghiên cứu, các nhà nghiên cứu của Kaspersky Lab đã vô tình phát hiện ra một loại mã độc được tạo ra dưới một hình thức gần giống với Shamoon 2.0. Tuy nhiên, nó lại rất khác biệt và còn tinh vi hơn cả Shamoon. Họ gọi mã độc này là StoneDrill.

    StoneDrill xóa dữ liệu bằng kết nối. Ởthời điểm hiện tại cóít nhất hai đối tượng của mã độc xóa dữ liệu StoneDrill đã được xác định, một ở Trung Đông và một ở Châu Âu.Bên cạnh module xóa dữ liệu, các nhà nghiên của của Kaspersky Lab cũng tìm thấy backdoor StoneDrill, vốn được phát triển bởi cùng các nhà lập trình và được sử dụng cho mục đích gián điệp. Các chuyên gia đã phát hiện bốn bảng chỉ huy và điều khiển đã được các kẻ tấn công sử dụng để chạy các hoạt động gián điệp với sự giúp đỡ của backdoor StoneDrill chống lại một số mục tiêu không rõ. StoneDrill có khả năng kết nối với các mã độc xóa dữ liệu khác và những hoạt động gián điệp trước đó.

    Mohamad Amin Hasbini, nhà nghiên cứu bảo mật cao cấp của bộ phận nghiên cứu và phân tích toàn cầu của Kaspersky cho biết: “Chúng tôi đã bị thu hút bởi sự tương đồng và sự so sánh giữa hoạt động của ba nhóm mã độc nguy hiểm này. Liệu StoneDrill có phải là một mã độc xóa dữ liệu khác được triển khai bởi nhân tố Shamoon? Hay StoneDrill và Shamoon thuộc hai nhóm khác nhau và hoàn toàn tách biệt nhưng lại vô tình nhằm vào các tổ chức Saudi cùng lúc? Hoặc hai nhóm tách biệt nhưng lại được sắp xếp theo cùng mục tiêu của chúng? Giả thuyết sau cùng có thể là: chúng ta có thể nói rằng trong khi Shamoon gắn các phần ngôn ngữ có nguồn gốc Ả Rập thì StoneDrill lại gắn các phần ngôn ngữ có nguồn gốc Persian. Các nhà phân tích địa chính trị có thể nhanh chóng chỉ ra rằng cả  Iran và Yemen đều là nhưng tay chơi trong cuộc xung đột ủy quyền giữa Iran và Ả rập Xê-út và Ả rập Xê-út là nơi mà hầu hết nạn nhân của các hoạt động này được tìm thấy. Tuy nhiên, chúng tôi không loại trừ khả năng các đồ tạo tác này là giả”.

    * Để bảo vệ các tổ chức khỏi những cuộc tấn công này, các chuyên gia bảo mật của Kaspersky Lab đưa ra lời khuyên:

    1.     Tiến hành đánh giá an ninh của mạng lưới điều khiển (nghĩa là kiểm toán an ninh, thử nghiệm xâm nhập, phân tích lỗ hổng) để xác định và loại bỏ bất kỳ lỗ hổng bảo mật nào. Xem lại các chính sách bảo mật của nhà cung cấp và các bên thứ ba trong trường hợp họ có quyền truy cập trực tiếp vào mạng điều hành.

    2.     Tìm kiếm sự hiểu biết bên ngoài: sự hiểu biết từ các nhà cung cấp danh tiếng giúp các tổ chức tiên đoán được các cuộc tấn công vào cơ sở hạ tầng của công ty trong tương lai. Các nhóm phản hồi khẩn cấp, chẳng hạn như ICS CERT của Kaspersky Lab cung cấpmột số thông tin giữa các ngành miễn phí.

    3.     Đào tạo nhân viên, đặc biệt quan tâm nến đội ngũ hoạt động và kỹ thuật và nhận thức của họ về những mối đe dọa và cuộc tấn công gần đây.  

    4.     Cung cấp bảo vệ trong phạm vi trong và ngoài. Một chiến lược an ninh thích hợp phải cung cấp đủ các nguồn lực đáng để để phát hiện các cuộc tấn công và phản ứng để ngăn chặn tấn công trước khi nó xâm nhập các đối tượng quan trọng.

    5.     Đánh giá các phương pháp bảo vệ cấp cao: bao gồm việc kiểm tra tính toàn diện cho các bộ điều khiển và giám sát mạng chuyên dụng để tăng cường an ninh cho công ty và giảm thiểu cơ hội phá hoại thành công, ngay cả khi một số điểm nút bị tổn thương cũng không thể vá hay loại bỏ.

    ĐTTD





    Gửi nhận xét về bài viết:
    Họ tên:    Email:
    Nội dung:
    • DTTD