Nhóm hacker lạ mà quen đang rục rịch tấn công chủ nhà World Cup 2018
Không chỉ Nga mà nhiều nước khác ở châu Âu cũng đang bị nhóm hacker nhắm tới.
Theo báo cáo mới nhất của Kaspersky Lab, mối đe dọa Olympic Destroyer từng tấn công lễ khai mạc Thế vận hội Mùa đông ở Pyeongchang vẫn còn hoạt động và đang có dấu hiệu quay trở lại phá hoại mạnh mẽ hơn. Lần này nó nhắm đến Đức, Pháp, Thụy Sĩ, Hà Lan, Ukraina và Nga, tập trung vào các tổ chức tham gia bảo vệ chống lại các mối đe dọa hóa học và sinh học.
Olympic Destroyer là mối đe dọa cấp cao tấn công vào các tổ chức, nhà cung cấp, đối tác của Thế vận hội Mùa đông 2018 ở Pyeongchang, Hàn Quốc, phá hoại mạng lưới bằng sâu máy tính (worm). Một vài dấu hiệu hiếm và tinh vi bị phát hiện bởi Kaspersky Lab cho thấy, đó là nhóm Lazarus do Triều Tiên đứng đằng sau.
Một số quốc gia đang bị Olympic Destroyer nhắm tới.
Mối đe dọa này đang phát tán phần mềm độc hại qua các tài liệu giả mạo gần giống với tài liệu vũ khí không gian mạng dùng để chuẩn bị cho khai mạc Olympic Mùa đông. Một tài liệu “bẫy” như vậy liên quan đến “Spiez Convergence”, một hội nghị về các đe dọa hóa - sinh diễn ra tại Thụy Sĩ tổ chức bởi phòng nghiên cứu Spiez. Một tài liệu khác nhắm đến cơ quan kiểm định sức khỏe và thú y ở Ukraina. Các nhà nghiên cứu đã phát hiện tài liệu giả mạo bằng tiếng Nga và tiếng Đức.
Và mục tiêu cuối cùng của bọn tin tặc khi các nhà nghiên cứu trích xuất tài liệu độc hại, đó là chúng được thiết kế để cấp quyền truy cập vào các máy tính bị tổn hại. Một cơ chế mở và miễn phí, phổ biến như Powershell Empire được sử dụng cho giai đoạn thứ hai của cuộc tấn công.
Những kẻ tấn công sử dụng máy chủ web hợp lệ để điều hành và quản lý phần mềm độc hại. Các máy chủ sử dụng một hệ thống quản lý nội dung (CMS) phổ biến gọi là Joomla. Nhà nghiên cứu phát hiện một trong những máy chủ quản lý độc hại sử dụng phiên bản Joomla v1.7.3 phát hành vào tháng 11/2011, cho thấy một biến thể lỗi thời của CMS đã được sử dụng để tấn công máy chủ.
Bọn hacker sử dụng dịch vụ web với Joomla phiên bản cũ để chạy phần mềm độc hại.
Ông Vitaly Kamluk, nhà nghiên cứu bảo mật tại Kaspersky Lab cho biết: “Xuất hiện vào đầu năm nay, Olympic Destroyer với mánh khóe lừa đảo tinh vi đã thay đổi quy luật cuộc chơi hoàn toàn và dễ dàng khiến các nhà nghiên cứu mắc sai lầm khi chỉ thấy được một phần của bức tranh. Việc phân tích và ngăn chặn các mối đe dọa nên dựa vào hợp tác giữa cá nhân và chính phủ trên toàn thế giới. Chúng tôi tin rằng chia sẻ công khai các kết quả nghiên cứu, các nhà nghiên cứu bảo mật sẽ dễ dàng phát hiện ra tấn công và giảm thiểu tác nhân gây hại tại bất kì giai đoạn nào trong tương lai”.
Trong cuộc tấn công trước suốt Thế vận hội Mùa đông, giai đoạn thăm dò bắt đầu một vài tháng trước khi sâu máy tính tự điều chỉnh cấu trúc mạng. Rất có thể Olympic Destroyer đang chuẩn bị tấn công tương tự với động cơ mới. Đây là lý do tại sao Kaspersky Lab khuyên các nhà nghiên cứu mối đe dọa hóa - sinh luôn phải cảnh giác cao và khởi động kiểm tra bảo mật ngoài lịch trình nếu có thể.
Ngọc Phạm
