Kaspersky Lab đã ghi nhận một trường hợp rất hiếm và bất thường khi một tội phạm mạng tấn công một tội phạm mạng khác.
Kaspersky Lab đã ghi nhận một trường hợp rất hiếm và bất thường khi một tội phạm mạng tấn công một tội phạm mạng khác vào năm 2014. Hellsing – một nhóm gián điệp mạng chuyên tấn công vào chính phủ và các tổ chức ngoại giao ở châu Á đã trở thành mục tiêu tấn công theo phương pháp “Spear-phising – tấn công giả mạo” từ một nhóm gián điệp mạng khác và Hellsing quyết định đáp trả. Phía Kaspersky Lab tin rằng việc này sẽ khởi đầu trào lưu chiến tranh APT ( Advanced Persistent Threat – Những mối nguy hiểm cao thường trực) giữa các nhóm tội phạm mạng.
Theo thông tin từ Kaspersky Lab cho biết các chuyên gia của hãng đã phát hiện ra sự việc này khi đang nghiên cứu hoạt động của Naikon – một nhóm gián điệp mạng khác cũng đang nhắm vào các tổ chức trong khu vực châu Á Thái Bình Dương và một trong những mục tiêu của Naikon đã cố gắng tấn công giả mạo bằng email có chứa phần mềm độc hại vào email của nhóm. Sau một loạt quá trình điều tra, Kaspersky Lab đã phát hiện ra đó chính là nhóm Hellsing.
Phương pháp phản tấn công chỉ ra rằng Hellsing đang muốn nhận dạng Naikon và thu thập thông tin tình báo bằng email tấn công giả mạo chứa kèm file độc được thiết kế để lan truyền phần mềm gián điệp trong các tổ chức khác nhau. Nếu nạn nhân mở file đính kèm có chứa mã độc, hệ thống của họ sẽ nhiễm độc backdoor giúp cho kẻ tấn công có thể kết nối từ xa tới máy nạn nhân sau đó tải xuống hoặc đăng lên, tự nâng cấp và gỡ bỏ tập tin. Nguồn tin cho biết ở thời điểm hiện tại đang có gần 20 tổ chức bị Hellsing nhắm vào.
Kaspersky hiện đã phát hiện và ngăn chặn phần mềm độc hại của Hellsing tại Malaysia, Philippines, Ấn Độ, Indonesia và Mỹ. Hellsing rất kén chọn thể loại tổ chức sẽ tấn công, chủ yếu là chính phủ và cơ quan ngoại giao, Hiện Malaysia và Philippines là 2 quốc gia có các tổ chức bị Hellsing tấn công nhiều nhất.
Ông Costin Raiu – Giám đốc nghiên cứu toàn cầu và bộ phận phân tích tại Kaspersky Lab cho biết, Hellsing đã hoạt động tư năm 2012 đến giờ, và việc Hellsing nhắm vào Naikon như một hành động trả thù kể từ sau các cuộc đụng vô tình giữa các nhóm APT trong quá khứ khi các nhóm này trộm danh sách địa chỉ liên lạc từ nạn nhân và sau đó gửi email hàng loạt đến các địa chỉ đó. Tuy nhiên, việc lên trước kế hoạch rõ ràng về mục tiêu tấn công có vẻ như là cách tấn công lẫn nhau của các nhóm APT.
Kaspersky Lab đưa ra các khuyến nghị đến người dùng nhằm phòng tránh những cuộc tấn công của Hellsing bao gồm các biện pháp bảo mật cơ bản như, không được mở tập tin đính kèm từ người lạ, cẩn thận hơn trong việc lưu trữ mật khẩu có chứa SCR hoặc các tập tin có thể thực thi bên trong, nên mở tập tin trong sandbox nếu cảm thấy không chắc chắn về tập tin đính kèm đó, cài phiên bản hệ điều hành mới nhất cũng như cập nhật các phần mềm bên thứ ba như Office, Java, Flash Player…
Để biết thêm nguy cơ tấn công của Hellsing và thông tin của các nhóm tội phạm mạng tấn công lẫn nhau hãy truy cập vào địa chỉ: http://securelist.com/
AICM – Techsignin