Tin tặc mạo danh HR để tấn công nhân viên cấp cao của các nhà thầu quốc phòng

Tin tặc mạo danh HR

Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cho công bố một báo cáo để cảnh báo các công ty về một loại mã độc nguy hiểm đang bị khai thác trên thực tế. CISA cho rằng mã độc này được tạo bởi Lazarus nhóm tin tặc khét tiếng của Triều Tiên và được sử dụng để theo dõi các nhân viên chủ chốt thuộc các nhà thầu chính phủ.

Được đặt tên là ‘BLINDINGCAN,‘ mã độc RAT này (remote access trojan) có chức năng như một backdoor khi nó được cài đặt trên các máy tính bị xâm nhập.

Theo FBI và CISA thì nhóm tin tặc nổi danh của Triều Tiên Lazarus Group (hay Hidden Cobra) chính là kẻ đứng sau điều khiển và phát tán BLINDINGCAN. Mục đích của chúng là để “thu thập các thông tin tình báo liên quan đến các công nghệ năng lượng và quân sự quan trọng”.

Để đạt được điều này, đầu tiên những kẻ tấn công sẽ nhắm mục tiêu tới các nhân vật tầm cỡ trong các bộ máy mà chúng quan tâm. Sau đó, chúng sẽ thực hiện nghiên cứu hoạt động của họ trên các mạng xã hội liên quan đến công việc. Cuối cùng, những kẻ tấn công này sẽ mạo danh nhà tuyển dụng để gửi các file tài liệu có chứa mã độc, ngụy trang dưới dạng các tài liệu liên quan công việc và lời mời làm việc.

Tuy nhiên, những chiêu trò tấn công phi kỹ thuật và lừa đảo việc làm như trên không phải là mới lạ. Gần đây, một chiến dịch gián điệp mạng tương tự của Triều Tiên cũng bị phát hiện đang nhắm vào các khu vực quốc phòng của Israel.

“Chúng đã tạo những hồ sơ giả trên Linkedin, một mạng xã hội được sử dụng chủ yếu để tìm kiếm việc làm trong các lĩnh vực công nghệ cao,” Bộ Ngoại giao Israel cho biết.

“Những kẻ tấn công này đã mạo danh các nhà quản lý, CEO và nhân viên giữ chức vụ cao tại các bộ phận nhân sự, cũng như giả mạo thành người đại diện của các công ty quốc tế nổi tiếng. Sau đó chúng liên hệ với các nhân viên thuộc các ngành công nghiệp quốc phòng hàng đầu của Israel, với mục đích lôi kéo họ vào các cuộc trò chuyện và dụ họ bằng nhiều cơ hội làm việc hấp dẫn.

“Trong quá trình gửi lời mời làm việc, những kẻ tấn công đã cố gắng xâm nhập vào máy tính của những nhân viên này, để có thể xâm nhập vào mạng của họ và thu thập các thông tin bảo mật quan trọng. Chúng đồng thời cũng tấn công các trang web chính thức của một loạt công ty để hack hệ thống của họ.”

Báo cáo của CISA cho biết kẻ tấn công đang điều khiển BLINDINGCAN từ xa thông qua một cơ sở hạ tầng bị nhiễm độc từ nhiều quốc gia. Mã độc này sẽ cho phép chúng:

  • Truy xuất thông tin của tất cả các đĩa (disk) đã cài đặt, bao gồm thông tin về loại đĩa cũng như dung lượng trống của nó
  • Tạo, bắt đầu và kết thúc một tiến trình mới và luồng thực thi chính của nó
  • Tìm kiếm, đọc, ghi, di chuyển và thực thi các file
  • Nhận và sửa đổi dấu thời gian của file hoặc thư mục
  • Thay đổi thư mục hiện tại cho một tiến trình hoặc file
  • Xóa mã độc và các công cụ (artifact) liên quan đến mã độc khỏi hệ thống bị lây nhiễm.

Các công ty an ninh mạng Trend MicroClearSky cũng đã công bố một báo cáo để phân tích chi tiết chiến dịch này.

“Sau khi lây nhiễm thành công, những kẻ tấn công đã thu thập nhiều thông tin tình báo liên quan đến các hoạt động kinh doanh của công ty. Chúng đồng thời cũng thu thập các thông tin liên quan đến tình hình tài chính của công ty, có thể là với ý định lấy trộm tiền từ nó. Kịch bản kép vừa gián điệp, vừa trộm tiền là một trong những đặc  trưng riêng biệt của các nhóm tin tặc đến từ Triều Tiên. Quốc gia này luôn vận hành các đơn vị tình báo với hai mục tiêu chính: đánh cắp thông tin và tiền bạc cho chính phủ.”

Theo báo cáo, nhóm tin tặc này không chỉ liên lạc với nạn nhân thông qua email mà chúng còn thực hiện các cuộc phỏng vấn trực tuyến với họ, chủ yếu qua Skype.

“Duy trì liên lạc trực tiếp, bên cạnh việc gửi email phishing, là một chiến thuật tương đối hiếm trong các nhóm gián điệp nhà nước (APTs). Tuy nhiên, bước đi này đã giúp Lazarus có thể đảm bảo được sự thành công của các cuộc tấn công. Điều này sẽ được phân tích rõ hơn trong báo cáo,” các nhà nghiên cứu nói.

CISA đã công bố các thông tin kỹ thuật liên quan đến BLINDINGCAN để hỗ trợ các công ty phát hiện xâm nhập. Cơ quan này cũng đề xuất một loạt các biện pháp khắc phục khác nhau để giúp các công ty giảm thiểu tối đa nguy cơ bị tấn công bởi mã độc nguy hiểm này.

Theo The Hacker News