Hacker tấn công máy tính Bộ Tài nguyên- Môi trường

>> 1,5 triệu máy tính Việt Nam đứng trước nguy cơ bị virus tấn công >> Bốn lỗ hổng Windows có thể bị khai thác thành chuỗi tấn công hoàn hảo >> VNPT sẽ hỗ trợ 37.000 máy tính bảng trong chương trình “Sóng và máy tính cho em” >> Ra mắt bộ giải pháp Bkav 2021 công nghệ bảo vệ 5 lớp, phòng chống tấn công cho chuyển đổi số >> Hiệp hội ô nhiễm của Mr. Thần Chết tấn công qua đường tai và mũi

Hacker đã thâm nhập bằng cách nào?

Máy tính, thiết bị di động của các nhân viên cơ quan chính phủ là mục tiêu cấp cao của tin tặc - Ảnh: ESET Blog

Báo cáo kèm phân tích về vụ tấn công được đăng tải trên blog ESET ngày 20-6, qua đó cho thấy những bước tin tặc thực hiện thâm nhập vào hệ thống website Bộ Tài nguyên - Môi trường (TN-MT), các hoạt động của mã độc khi đã ở trong hệ thống và cách tin tặc dựa vào đó đánh cắp dữ liệu.

Kẻ tấn công mở đầu bằng "spear-phishing", một hình thức lừa đảo qua email nhưng hướng tới những đối tượng có chủ đích thay vì “rải thảm” hàng loạt. Trong email, kẻ tấn công đính kèm một tập tin Word. Chúng biết rõ các nhân viên Bộ TN-MT sử dụng webmail để kiểm tra email, và theo đó, họ không thể xem trực tiếp file Word đính kèm mà phải tải về máy trước (download).

Khi mở tập tin Word đã tải về trong email giả mạo, một mã nhúng trong tập tin sẽ khai thác lỗi bảo mật để "thả" một tập tin mã độc tên "payload.exe" vào hệ thống. Đây là loại trojan có thể thực hiện các hoạt động tinh vi.

Đáng chú ý, mã độc có khả năng "qua mặt" được lớp bảo mật chống virus trên máy tính của nhân viên. Cụ thể, khi kích hoạt, nó tự động kiểm tra trên máy có cài phần mềm diệt virus BKAV (Bach Khoa Anti-Virus) hay không. Nếu có, nó triệt hạ "tường lửa" (firewall) của BKAV bằng thuật toán riêng. Theo đó cho thấy, mã độc này được thiết kế với mục đích nhắm tới máy tính các tổ chức cơ quan chính phủ, thường sử dụng phần mềm BKAV để ngăn chặn virus.

Thâm nhập và hạ lớp bảo vệ, mã độc bắt đầu mở cửa sau (backdoor), kết nối đến máy chủ ra lệnh từ xa (C&C). Đồng thời, mã độc "nhúng" bản thân nó vào tập tin "explorer.exe" (tập tin kích hoạt Windows Explorer thuần túy). Theo đó, nó mở cửa cho chủ nhân thâm nhập vào máy tính một cách "hợp pháp" mà không lo ngại bị nhận diện.

Tuy phân tích cặn kẽ hoạt động của mã độc, phía ESET cho biết "không thể cung cấp thêm thông tin về kẻ đứng sau chiến dịch tấn công này". ESET nhận định những dữ liệu liên quan về biển Đông có thể rất đáng giá trong giai đoạn hiện nay, như các bản đồ, tư liệu nghiên cứu, các báo cáo.. có liên quan.

Hiện chưa có thông báo chính thức về vụ việc từ phía Bộ TN-MT.