WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Botnet mới lại tấn công hệ thống thanh toán chấp nhận thẻ
Hãng bảo mật FireEye vừa công bố phát hiện một botnet mới có tên mã là BrutPOS đang tấn công vào các hệ thống máy thanh toán thẻ (POS). Hiện botnet này đã kiểm soát 5.622 máy tính tại 119 nước.
Theo FireEye, BrutPOS được trang bị các kỹ thuật cao cấp nhằm đánh cắp thông tin thẻ thanh toán qua hệ thống POS bằng cách tấn công các server nhận dữ liệu từ máy POS truyền về, nếu server đó sử dụng giao thức Remote Desktop Protocol (RDP) và có mật khẩu yếu.
Mạng botnet sử dụng hàng nghìn máy tính nhiễm malware BrutPOS quét một số dải IP định sẵn để tìm ra các server RDP có mật khẩu yếu hoặc vẫn giữ mật khẩu mặc định. Chiến dịch tấn công đã diễn ra được khoảng 2 tuần và xâm nhập được vào ít nhất 57 hệ thống POS.
Tin tặc đã chỉ định tấn công tổng cộng 57 dải IP, trong đó đa số là tại Hoa Kỳ (32 dải)
Tuy chưa rõ nhóm tội phạm đứng sau vụ việc phát tán malware bằng cách nào nhưng FireEye khẳng định có bằng chứng cho thấy malware BrutPOS được phán tán cùng với một loạt các malware không liên quan thông qua trang destre45[.]com. Tin tặc có thể đã sử dụng mạng lưới phát tán được cung cấp bởi các nhóm tội phạm mạng khác .
FireEye nhấn mạnh chiến dịch này đặc biệt nguy hiểm do hệ thống quản lý của kẻ nắm botnet có thể cho chúng khả năng thu thập thông tin và tấn công rất đa dạng. Tin tặc có thể điều khiển được cả hệ thống botnet từ một trình điều hành trên nền web. Trình điều hành này có chức năng thống kê tổng quan về mạng botnet, giúp tin tặc có được thông tin chi tiết về các hệ thống bị lây nhiễm đang nằm dưới quyền điều khiển của chúng. Các thông tin gồm địa chỉ IP, địa chỉ địa lý, trạng thái của các hoạt động brute force vào hệ thống (xấu, tốt, lỗi, phiên bản…) cũng như nhãn thời gian của lần kết nối cuối cùng đến server C&C. Tin tặc cũng có thể thực thi các lệnh như tải lại hoặc xóa.
Theo nhận định của FireEye thì nhiều khả năng thủ phạm của chiến dịch là một nhóm tội phạm ở Đông Âu.
Botnet đang trở thành một mối đe dọa ngày càng lớn đối với các hoạt động kinh doanh ở mọi quy mô. Hồi tháng 6, cơ quan chức năng của nhiều nước trên thế giới đã cùng tham gia một chiến dịch triệt phá mạng botnet GameOver Zeus, trong một nỗ lực chung nhằm giải quyết vấn đề. Trong khi đó thì hệ thống POS dường như đang trở thành mục tiêu ưa thích của tội phạm mạng. Gần đây nhất là vụ việc hệ thống POS của tập đoàn bán lẻ Hoa Kỳ Target bị nhiễm malware làm mất thông tin của 70 triệu người dùng và 40 triệu thẻ tín dụng.
Nguồn: V3 Security
Theo FireEye, BrutPOS được trang bị các kỹ thuật cao cấp nhằm đánh cắp thông tin thẻ thanh toán qua hệ thống POS bằng cách tấn công các server nhận dữ liệu từ máy POS truyền về, nếu server đó sử dụng giao thức Remote Desktop Protocol (RDP) và có mật khẩu yếu.
Mạng botnet sử dụng hàng nghìn máy tính nhiễm malware BrutPOS quét một số dải IP định sẵn để tìm ra các server RDP có mật khẩu yếu hoặc vẫn giữ mật khẩu mặc định. Chiến dịch tấn công đã diễn ra được khoảng 2 tuần và xâm nhập được vào ít nhất 57 hệ thống POS.
Tin tặc đã chỉ định tấn công tổng cộng 57 dải IP, trong đó đa số là tại Hoa Kỳ (32 dải)
Tuy chưa rõ nhóm tội phạm đứng sau vụ việc phát tán malware bằng cách nào nhưng FireEye khẳng định có bằng chứng cho thấy malware BrutPOS được phán tán cùng với một loạt các malware không liên quan thông qua trang destre45[.]com. Tin tặc có thể đã sử dụng mạng lưới phát tán được cung cấp bởi các nhóm tội phạm mạng khác .
FireEye nhấn mạnh chiến dịch này đặc biệt nguy hiểm do hệ thống quản lý của kẻ nắm botnet có thể cho chúng khả năng thu thập thông tin và tấn công rất đa dạng. Tin tặc có thể điều khiển được cả hệ thống botnet từ một trình điều hành trên nền web. Trình điều hành này có chức năng thống kê tổng quan về mạng botnet, giúp tin tặc có được thông tin chi tiết về các hệ thống bị lây nhiễm đang nằm dưới quyền điều khiển của chúng. Các thông tin gồm địa chỉ IP, địa chỉ địa lý, trạng thái của các hoạt động brute force vào hệ thống (xấu, tốt, lỗi, phiên bản…) cũng như nhãn thời gian của lần kết nối cuối cùng đến server C&C. Tin tặc cũng có thể thực thi các lệnh như tải lại hoặc xóa.
Theo nhận định của FireEye thì nhiều khả năng thủ phạm của chiến dịch là một nhóm tội phạm ở Đông Âu.
Botnet đang trở thành một mối đe dọa ngày càng lớn đối với các hoạt động kinh doanh ở mọi quy mô. Hồi tháng 6, cơ quan chức năng của nhiều nước trên thế giới đã cùng tham gia một chiến dịch triệt phá mạng botnet GameOver Zeus, trong một nỗ lực chung nhằm giải quyết vấn đề. Trong khi đó thì hệ thống POS dường như đang trở thành mục tiêu ưa thích của tội phạm mạng. Gần đây nhất là vụ việc hệ thống POS của tập đoàn bán lẻ Hoa Kỳ Target bị nhiễm malware làm mất thông tin của 70 triệu người dùng và 40 triệu thẻ tín dụng.
Nguồn: V3 Security
Chỉnh sửa lần cuối bởi người điều hành: