Olympic Destroyer tiếp tục hoành hành

15:3325/06/2018

(ĐTTD) Mối đe doạ Olympic Destroyer – kẻ đã từng tấn công lễ khai mạc Thế vận hội mùa đông ở Pyeongchang – đã trở lại và lần này nó nhắm đến Đức, Pháp, Thuỵ Sĩ, Hà Lan, Ukraina và Nga, tập trung mạnh vào các tổ chức tham gia bảo vệ chống lại các mối đe doạ hoá học và sinh học.

Các chuyên gia đến từ Kaspersky Lab cho biết, các kết quả gần đây đã cho thấy nhóm Lazarus liên quan đến Triều Tiên đứng đằng sau hoạt động này. Tuy nhiên, vào tháng 3 vừa qua, công ty cũng xác nhận rằng hoạt động “cờ giả” tinh vi và đầy sức thuyết phục - Lazarus không phải là nguyên nhân. Các nhà nghiên cứu đã phát hiện hoạt động của Olympic Destroyer đã trở lại, sử dụng chính bộ thăm dò và xâm nhập để tập trung vào mục tiêu ở châu Âu.

Mối đe doạ Olympic Destroyer – kẻ đã từng tấn công lễ khai mạc Thế vận hội mùa đông ở Pyeongchang – đã trở lại và lần này nó nhắm đến Đức, Pháp, Thuỵ Sĩ, Hà Lan, Ukraina và Nga.
 

Nhân tố đe doạ đang phát tán phần mềm độc hại qua các tài liệu giả mạo gần giống với tài liệu vũ khí không gian mạng dùng để chuẩn bị cho khai mạc Olympic mùa đông. Một tài liệu “bẫy” như vậy liên quan đến “Spiez Convergence” -  hội nghị về các đe doạ hoá-sinh đang diễn ra tại Thuỵ Sĩ và tổ chức bởi phòng nghiên cứu Spiez - tổ chức đóng vai trò chính trong cuộc điều tra tấn công Salisbury.

Một tài liệu khác nhắm đến cơ quan kiểm định sức khoẻ và thú y ở Ukraina đã được các nhà nghiên cứu phát hiện tài liệu giả mạo bằng tiếng Nga và tiếng Đức.

Mục tiêu cuối cùng là trích xuất các tài liệu độc hại được thiết kế để cấp quyền truy cập chung cho các máy tính bị tổn hại. Những kẻ tấn công sử dụng web server hợp lệ để điều hành và quản lí phần mềm độc hại. Trong khi đó, các máy chủ sử dụng một hệ thống quản lí nội dung (CMS) phổ biến gọi là Joomla.

Các nhà nghiên cứu đã phát hiện một trong những máy chủ quản lí payload độc hại sử dụng phiên bản Joomla (v1.7.3) phát hành vào tháng 11/2011, cho thấy một biến thể lỗi thời của CMS đã được sử dụng để tấn công máy chủ.

Các nhà nghiên cứu đã phát hiện một trong những máy chủ quản lí payload độc hại sử dụng phiên bản Joomla (v1.7.3) phát hành vào tháng 11/2011 đã được sử dụng để tấn công máy chủ.
 

Xuất hiện vào đầu năm nay, Olympic Destroyer với mánh khóe lừa đảo tinh vi đã thay đổi quy luật cuộc chơi hoàn toàn và dễ dàng khiến các nhà nghiên cứu mắc sai lầm khi chỉ thấy được một phần của bức tranh. Việc phân tích và ngăn chặn các mối đe doạ nên dựa vào hợp tác giữa cá nhân và chính phủ trên toàn thế giới. Chúng tôi tin rằng chia sẻ công khai các kết quả nghiên cứu, các nhà nghiên cứu bảo mật sẽ dễ dàng phát hiện ra tấn công và giảm thiểu tác nhân gây hại tại bất kì giai đoạn nào trong tương lai”. Ông Vitaly Kamluk, nhà nghiên cứu bảo mật tại Kaspersky Lab cho biết.

Trong cuộc tấn công Thế vận hội Mùa đông, giai đoạn thăm dò bắt đầu một vài tháng trước khi sâu máy tính tự điều chỉnh cấu trúc mạng. Rất có thể Olympic Destroyer đang chuẩn bị tấn công tương tự với động cơ mới. Đây là lí do tại sao chúng tôi khuyên các nhà nghiên cứu mối đe doạ hoá-sinh luôn cảnh giác cao và khởi động kiểm tra bảo mật ngoài lịch trình nếu có thể.

Sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công các phần mềm độc lại liên quan đến Olympic Destroyer.Chi tiết xem thêm tại đây.

ĐTTD





Gửi nhận xét về bài viết:
Họ tên:    Email:
Nội dung:
  • VELOP Linksys
  • DTTD