Gián điệp mạng Triều Tiên nhắm mục tiêu nhà thầu quốc phòng Mỹ

(Không gian mạng) - Ngày 14/08, hãng bảo mật Palo Alto Networks (Mỹ) báo cáo phát hiện chiến dịch mới của nhóm gián điệp mạng Lazarus (Triều Tiên) nhắm vào một số cá nhân, trong đó có các nhà thầu quốc phòng Mỹ.

Hoạt động của nhóm APT Lazarus trở nên mạnh mẽ hơn vào năm 2014 và 2015, sử dụng công cụ chủ yếu là mã độc tùy chỉnh được chuyên gia đánh giá là thiết kế rất tinh vi.

Các mục tiêu tấn công của nhóm APT Lazarus

Các mục tiêu tấn công của nhóm APT Lazarus

Lazarus hoạt động ít nhất từ năm 2009, hoặc có thể vào đầu năm 2007, từng tham gia vào nhiều chiến dịch gián điệp mạng và hoạt động phá hoại nhằm phá hủy dữ liệu và hệ thống.

Theo các chuyên gia bảo mật, nhóm này đứng sau nhiều chiến dịch như Chiến dịch Troy, Chiến dịch DarkSeoul, vụ tấn công hãng Sony Pictures năm 2014, vụ cướp trực tuyến 80 triệu USD của ngân hàng trung ương Bangladesh năm 2016.

Nhóm Lazarus được theo dõi bởi Chính phủ Mỹ dưới biệt danh Hidden Cobra, gần đây đã nhắm vào các nhà thầu quốc phòng Mỹ, và có khả năng nhóm đã hợp tác với các nhóm hacker khác để thực hiện chiến dịch này.

Chiến dịch được Lazarus triển khai thông qua các email lừa đảo có chứa các tài liệu Microsoft Office. Các tài liệu được viết bằng tiếng Anh và nhúng các macro nguy hiểm để phân phối mã độc.

“Các nhà nghiên cứu thuộc đơn vị “Unit 42” của Palo Alto Networks đã phát hiện ra hoạt động tấn công mới nhắm vào các cá nhân liên quan đến các nhà thầu quốc phòng Mỹ.

Sau khi phân tích mã độc, các tập tin và cơ sở hạ tầng, nhóm đứng sau chiến dịch này đã trực tiếp hoặc hợp tác với nhóm đứng sau chiến dịch Operation Blockbuster Sequeland (được các nhà nghiên cứu hãng Novetta báo cáo)”, theo PaloAlto Networks.

Các macro được sử dụng trong chiến dịch này cho thấy nhiều điểm tương đồng với các cuộc tấn công mạng khác do Lazarus thực hiện, các chuyên gia cũng tìm thấy nhiều mối liên kết từ tài liệu mồi nhử, payload và các máy chủ ra lệnh và kiểm soát (C&C).

“Gần đây, chúng tôi đã xác định các tài liệu Microsoft Office được vũ khí hóa bằng các macro độc hại giống như các cuộc tấn công từ đầu năm nay. Dựa trên nội dung của những tài liệu mà nạn nhân nhận được sau khi mở tài liệu, cho thấy kẻ tấn công đã chuyển mục tiêu từ người nói tiếng Hàn sang người nói tiếng Anh. Đáng chú ý nhất, chủ đề của tài liệu bao gồm mô tả ví trí công việc và các chính sách nội bộ từ các nhà thầu quốc phòng Mỹ”, theo báo cáo của PaloAlto Networks phân tích.

Các chuyên gia nhấn mạnh các công cụ và chiến thuật được nhóm sử dụng thay đổi rất ít so với các chiến dịch gián điệp mạng trước đó, và các chuyên gia cũng chắc chắn rằng nhóm này sẽ tiếp tục triển khai chiến dịch.

Gia Cát Linh (dịch từ Security Affairs)

Bộ Ngoại giao Mỹ thành lập văn phòng An ninh Công nghệ và Không gian mạng

Bộ Ngoại giao Mỹ thành lập văn phòng An ninh Công nghệ và Không gian mạng

Bộ Ngoại giao Mỹ đã âm thầm thiết lập một văn phòng mới vào đầu năm 2017 thuộc Cơ quan An ninh Ngoại giao để bảo vệ và ứng phó với các mối đe dọa mạng. Theo thông tin...
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Xem thêm:

Tags: