Phát hiện 'cửa hậu' mạng nội bộ của Cơ quan liên bang Mỹ

Báo cáo được công bố vào tuần trước của Công ty an ninh mạng Avast của Séc cho rằng: “Cuộc tấn công này có thể dẫn đến khả năng hiển thị toàn bộ mạng và kiểm soát hoàn toàn hệ thống và do đó có thể được sử dụng như bước đầu tiên trong một cuộc tấn công nhiều giai đoạn nhằm xâm nhập mạng này hoặc các mạng khác sâu hơn”.

Avast cho biết, họ đã phải công khai các phát hiện của mình sau những nỗ lực không thành công để thông báo trực tiếp cho cơ quan về vụ xâm nhập và thông qua các kênh khác do chính phủ Mỹ thực hiện.

Cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại cho phép kẻ thù không xác định chặn lưu lượng truy cập internet và thực thi mã do chúng chọn, cho phép các tin tặc kiểm soát hoàn toàn các hệ thống bị nhiễm. Để thực hiện được việc xâm nhập này, tin tặc đã lạm dụng gói thu thập và chuyển hướng gói chế độ người dùng (WinDivert) của hệ điều hành Windows.

Điều đáng chú ý đó là cả hai mẫu đều giả dạng thư viện Oracle có tên “oci.dll”, trình giải mã giai đoạn hai được triển khai trong cuộc tấn công được phát hiện có điểm tương đồng với một tệp thực thi khác được các nhà nghiên cứu của Công ty cung cấp phần mềm an ninh mạng Trend Micro công bố chi tiết vào năm 2018.

Các nhà nghiên cứu cho biết: “Có thể cho rằng một số hình thức thu thập và lọc dữ liệu của lưu lượng mạng đã xảy ra, nhưng đó là suy đoán đã được thông báo trước. Điều đó nói rằng, chúng tôi không có cách nào để biết chắc chắn về quy mô và phạm vi của cuộc tấn công này ngoài những gì chúng tôi đã thấy”.

Phan Văn Hòa(theo Thehackernews)