Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã xuất bản một báo cáo cảnh báo các công ty về một phần mềm độc hại mới đang hoành hành mà các tin tặc Triều Tiên được cho là đang sử dụng để do thám các nhân viên chủ chốt tại các công ty hợp đồng của chính phủ.
Được mệnh danh là ‘BLINDINGCAN, ‘trojan truy cập từ xa nâng cao hoạt động như một cửa sau khi được cài đặt trên các máy tính bị xâm nhập.
Theo FBI và CISA, các tin tặc do nhà nước Triều Tiên bảo trợ Lazarus Group, còn được biết là Rắn hổ mang ẩn, đang truyền bá BLINDINGCAN để “thu thập thông tin tình báo xung quanh các công nghệ năng lượng và quân sự quan trọng.”
Để đạt được điều này, trước tiên những kẻ tấn công xác định các mục tiêu có giá trị cao, thực hiện nghiên cứu sâu rộng trên các mạng xã hội và nghề nghiệp của họ, sau đó đóng giả là những nhà tuyển dụng để gửi các tài liệu độc hại được tải với phần mềm độc hại, giả dạng là quảng cáo và lời mời tuyển dụng.
Tuy nhiên, những trò gian lận việc làm và các chiến lược kỹ thuật xã hội như vậy không phải là mới và gần đây đốm đang được sử dụng trong một chiến dịch gián điệp mạng tương tự khác của tin tặc Triều Tiên nhằm vào lĩnh vực quốc phòng của Israel.
Bộ Ngoại giao Israel cho biết: “Họ đã xây dựng hồ sơ giả trên Linkedin, một mạng xã hội được sử dụng chủ yếu để tìm kiếm việc làm trong lĩnh vực công nghệ cao.
“Những kẻ tấn công đã mạo danh các nhà quản lý, CEO và các quan chức hàng đầu trong các bộ phận nhân sự, cũng như đại diện của các công ty quốc tế, và liên hệ với nhân viên của các ngành công nghiệp quốc phòng hàng đầu ở Israel, với mục đích phát triển các cuộc thảo luận và dụ họ bằng nhiều cơ hội việc làm.
“Trong quá trình gửi thư mời làm việc, những kẻ tấn công đã cố gắng xâm nhập máy tính của những nhân viên này, để xâm nhập vào mạng của họ và thu thập thông tin bảo mật nhạy cảm. Những kẻ tấn công cũng cố gắng sử dụng các trang web chính thức của một số công ty để xâm nhập hệ thống của họ. “
Báo cáo của CISA nói rằng những kẻ tấn công đang kiểm soát từ xa phần mềm độc hại BLINDINGCAN thông qua cơ sở hạ tầng bị xâm nhập từ nhiều quốc gia, cho phép chúng:
- Truy xuất thông tin về tất cả các đĩa đã cài đặt, bao gồm loại đĩa và dung lượng trống trên đĩa
- Tạo, bắt đầu và kết thúc một quy trình mới và chuỗi chính của nó
- Tìm kiếm, đọc, ghi, di chuyển và thực thi tệp
- Nhận và sửa đổi dấu thời gian của tệp hoặc thư mục
- Thay đổi thư mục hiện tại cho một quá trình hoặc tệp
- Xóa phần mềm độc hại và phần mềm tạo tác liên quan đến phần mềm độc hại khỏi hệ thống bị nhiễm.
Công ty an ninh mạng Xu hướng micro và Bầu trời quang đãng cũng đã ghi lại chiến dịch này trong một báo cáo chi tiết giải thích:
“Sau khi lây nhiễm, những kẻ tấn công đã thu thập thông tin tình báo liên quan đến hoạt động của công ty, và cả các vấn đề tài chính của công ty, có thể là để cố gắng lấy trộm một số tiền từ nó. Kịch bản kép về gián điệp và trộm tiền chỉ có ở Bắc Triều Tiên, nơi vận hành các đơn vị tình báo. ăn cắp cả thông tin và tiền bạc cho đất nước của họ. “
Theo báo cáo này, những kẻ tấn công Triều Tiên không chỉ liên lạc với mục tiêu thông qua email mà còn thực hiện các cuộc phỏng vấn trực tuyến trực tiếp, chủ yếu trên Skype.
“Duy trì liên lạc trực tiếp, ngoài việc gửi email lừa đảo, tương đối hiếm trong các nhóm gián điệp quốc gia-nhà nước (APT); tuy nhiên, như nó sẽ được hiển thị trong báo cáo này, Lazarus đã áp dụng chiến thuật này để đảm bảo sự thành công của các cuộc tấn công của họ”, các nhà nghiên cứu nói.
CISA đã công bố thông tin kỹ thuật để hỗ trợ phát hiện và ghi nhận tác giả, cũng như khuyến nghị nhiều quy trình phòng ngừa để giảm đáng kể khả năng xảy ra loại tấn công này.
