|
Mỹ nhiều lần cáo buộc gián điệp Nga phát tán công cụ xâm nhập vào hệ thống máy tính nước này (ảnh minh họa: CNET) |
Các hacker Nga đang có một công cụ “giấu trong tay áo" để truy cập vào các hệ thống máy tính nhạy cảm nhằm tránh bị phát hiện và bị bắt. Kẻ xấu đang sử dụng công cụ này để nhắm vào các hệ thống máy tính trọng yếu ở Mỹ và châu Âu, cũng như một số quốc gia thuộc Liên Xô cũ.
Công ty an ninh mạng Palo Alto Networks đã mô tả công cụ hack mà họ gọi là “Cannon” trong một bài đăng trên blog vào ngày 20/11. Cannon là một phần mềm độc hại. Nó được âm thầm cài đặt vào máy tính mục tiêu, chụp ảnh màn hình máy tính, sau đó dùng email để gửi ảnh về cho hacker theo cách cực kỳ bí mật mà người dùng không hề hay biết. Sau đó nó sẽ nhận và thực thi tiếp các lệnh từ hacker. Cannon giống như một máy ảnh gián điệp trên máy tính của bạn.
Palo Alto Network tin rằng các hacker đằng sau Cannon là một bộ phận thuộc Cơ quan gián điệp quân sự của Nga (GRU). Đôi khi nhóm này được gọi dưới cái tên Fancy Bear. Nhóm này từng bị cáo buộc là thủ phạm tấn công vào máy tính của Ủy ban Quốc gia Đảng Dân chủ vào năm 2016 để tác động thay đổi kết quả bầu cử Tổng thống Mỹ.
Cách thức công cụ hack sử dụng email để gửi thông tin về cho hacker là vừa thông minh vừa mới mẻ - ông Jen Miller-Osborn, Phó giám đốc phụ trách mảng phần mềm gián điệp của Palo Alto Networks cho biết. Đó là một phần trong một bức tranh lớn hơn, nơi hacker thực hiện các thủ thuật tinh vi và phức tạp nhằm qua mắt sự theo dõi của cơ quan chức năng, tránh bị phát hiện càng lâu càng tốt. Khi các chuyên gia bảo mật phát hiện ra các kỹ thuật ẩn nấp của mã độc, các hacker từ những nhóm tương tự như Fancy Bear lại thay đổi cách thức xâm nhập.
“Đó là một nhóm có nguồn lực tốt và có những con người có kỹ năng thành thạo”, Miller-Osborn nói. "Khi chúng tôi phát triển các biện pháp bảo vệ chống lại họ, họ có khả năng tiến hóa chống lại những biện pháp bảo vệ đó".
Tin tức về Cannon xuất hiện chưa đầy 1 tuần sau khi hai công ty bảo mật khác nói với Reuters rằng một nhóm tin tặc khác liên quan đến Nga đã mạo danh nhân viên của Bộ Ngoại giao Hoa Kỳ gửi email cho các tổ chức nghiên cứu, các doanh nghiệp và cơ quan chính phủ. Công ty bảo mật FireEye nhận định vụ việc này được thực hiện bởi nhóm hacker có tên là Cosy Bear. Đây là nhóm mà các quan chức tình báo Mỹ tin là thuộc Tổng cục An ninh Liên bang Nga (FSB).
Công cụ hack mà Palo Alto Networks phát hiện là một phần của chiến dịch xâm nhập quy mô lớn vào mạng máy tính của Mỹ và châu Âu. Nhóm các chuyên gia bảo mật của ông Miller-Osborn đã quan sát hoạt động này từ cuối tháng 10 đầu tháng 11. Họ nhận thấy hacker khởi đầu bằng việc gửi một email lừa đảo, trong đó có chứa một file Microsoft Word. File văn bản này không chứa bất kỳ mã độc nào bên trong nên các phần mềm bảo mật khi quét các file đính kèm sẽ không phát hiện ra bất cứ vấn đề gì. Nhưng một khi người dùng nhấp vào để mở, văn bản Word sẽ tải về một biểu mẫu (template) từ xa có chứa mã độc. Lúc này văn bản Word sẽ trở thành hệ thống phát tán phần mềm độc hại.
Khả năng tạo biểu mẫu từ xa là một tính năng của Microsoft Word. Nó cho phép một công ty hay một tổ chức tạo ra biểu mẫu chung mà nhân viên của họ có thể tải xuống để soạn thảo tài liệu một cách thống nhất. Quá trình tải xuống có thể diễn ra tự động.
Các chuyên gia của Palo Alto Networks nói rằng sau khi người dùng nhấp mở tài liệu Word trong email lừa đảo, nó sẽ tải về hai chương trình độc hại trong đó có Cannon. Cannon sẽ đăng nhập vào một địa chỉ email giấu kín mà người dùng không hề biết, từ đó nó có thể gửi ảnh chụp màn hình và thông tin của chiếc máy tính bị xâm nhập về cho hacker, đồng thời nhận các lệnh mới.
Điều duy nhất có thể ngăn chặn được sự phát tán của Cannon là người dùng không nên mở email giả mạo, nhưng để nhận biết được email giả mạo này là việc không hề đơn giản đối với họ, ông Miller-Osborn cho biết.
Theo CNET