WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Harkonen Operation - Chiến dịch gián điệp mạng hoạt động 12 năm không bị phát hiện
Một chiến dịch gián điệp mạng quy mô cực lớn nhắm vào một loạt các ngân hàng, doanh nghiệp và cơ quan chính phủ tại Đức, Thụy Sĩ và Áo vừa mới được đưa ra ánh sáng và trở thành chiến dịch kéo dài nhất trong lịch sử khi diễn ra âm thầm suốt 12 năm mà không bị phát hiện.
Chiến dịch được đặt tên “'Harkonnen Operation' có sự tham gia của 800 công ty bình phong tại Anh – tất cả đều dùng chung 1 địa chỉ IP giống nhau – có nhiệm vụ che chắn cho tin tặc cài đặt malware vào máy chủ và thiết bị mạng của các nạn nhân. Số nạn nhân của chiến dịch tính đến nay vào khoảng 300 công ty và tổ chức tại Đức, Thụy Sĩ và Áo.
Theo hãng bảo mật CyberTinel (Israel), đơn vị đầu tiên phát hiện ra chiến dịch, tin tặc đã đột nhập lần đầu vào hệ thống mạng của các nạn nhân từ năm 2002 và thiệt hại gây ra cho các đơn vị tổ chức tính đến nay là “không thể đo đếm được”. “Tin tặc khai thác những quy định khá lỏng lẻo của Anh trong việc mua bán chứng chỉ an ninh số SSL và thành lập các công ty bình phong để tạo ra các dịch vụ web hợp pháp”, giám đốc Elite Cyber Solutions (đối tác của Cybertinel tại Anh), ông Jonathan Gad cho biết.
“Tin tặc Đức đứng sau mạng lưới sau đó sẽ chiềm quyền kiểm soát hoàn toàn các máy tính của nạn nhân và có thể tiến hành các hoạt động gián điệp một các thoải mái trong nhiều năm mà không hề bị phát hiện. Tại thời điểm này, chúng tôi có thể hình dung được quy mô của mạng lưới, nhưng thiệt hại cho các tổ chức về mất mát dữ liệu kinh doanh, nhân sự và khách hàng là không thể đo đếm được”, ông Gad nói thêm.
Việc malware được cài đặt thông qua hình thức tấn công lừa đảo có mục tiêu, xuất phát từ các công ty được thành lập hợp pháp, với chứng chỉ an ninh hợp pháp, giúp tin tặc khó bị phát hiện hơn và cho phép chúng tấn công những server có mức độ an ninh cao, lấy được những tài liệu tối mật nhất.
Các loại trojan được phát hiện trong chiến dịch là loại GFILTERSVC.exe, xuất phát từ dòng trojan Trojan.win7.generic!.bt và wmdmps32.exe
Hiện vẫn chưa xác định được ai đứng đằng sau Harkonen Operation, tuy nhiên các nhà nghiên cứu tin rằng chiến dịch là hành động của một nhóm tội phạm chứ không phải của một chính phủ nào đó.
Ước tính, chiến dịch đã được đầu tư khoảng 150.000 đôla Mỹ - một số tiền rất lớn đối với tin tặc - để trang bị hàng trăm tên miền, địa chỉ IP và chứng chỉ số để các công ty bình phong tại Anh hoạt động một cách hợp pháp và liên tục trong suốt 12 năm qua.
Nguồn: The HackerNews
Chiến dịch được đặt tên “'Harkonnen Operation' có sự tham gia của 800 công ty bình phong tại Anh – tất cả đều dùng chung 1 địa chỉ IP giống nhau – có nhiệm vụ che chắn cho tin tặc cài đặt malware vào máy chủ và thiết bị mạng của các nạn nhân. Số nạn nhân của chiến dịch tính đến nay vào khoảng 300 công ty và tổ chức tại Đức, Thụy Sĩ và Áo.
Theo hãng bảo mật CyberTinel (Israel), đơn vị đầu tiên phát hiện ra chiến dịch, tin tặc đã đột nhập lần đầu vào hệ thống mạng của các nạn nhân từ năm 2002 và thiệt hại gây ra cho các đơn vị tổ chức tính đến nay là “không thể đo đếm được”. “Tin tặc khai thác những quy định khá lỏng lẻo của Anh trong việc mua bán chứng chỉ an ninh số SSL và thành lập các công ty bình phong để tạo ra các dịch vụ web hợp pháp”, giám đốc Elite Cyber Solutions (đối tác của Cybertinel tại Anh), ông Jonathan Gad cho biết.
“Tin tặc Đức đứng sau mạng lưới sau đó sẽ chiềm quyền kiểm soát hoàn toàn các máy tính của nạn nhân và có thể tiến hành các hoạt động gián điệp một các thoải mái trong nhiều năm mà không hề bị phát hiện. Tại thời điểm này, chúng tôi có thể hình dung được quy mô của mạng lưới, nhưng thiệt hại cho các tổ chức về mất mát dữ liệu kinh doanh, nhân sự và khách hàng là không thể đo đếm được”, ông Gad nói thêm.
Việc malware được cài đặt thông qua hình thức tấn công lừa đảo có mục tiêu, xuất phát từ các công ty được thành lập hợp pháp, với chứng chỉ an ninh hợp pháp, giúp tin tặc khó bị phát hiện hơn và cho phép chúng tấn công những server có mức độ an ninh cao, lấy được những tài liệu tối mật nhất.
Các loại trojan được phát hiện trong chiến dịch là loại GFILTERSVC.exe, xuất phát từ dòng trojan Trojan.win7.generic!.bt và wmdmps32.exe
Hiện vẫn chưa xác định được ai đứng đằng sau Harkonen Operation, tuy nhiên các nhà nghiên cứu tin rằng chiến dịch là hành động của một nhóm tội phạm chứ không phải của một chính phủ nào đó.
Ước tính, chiến dịch đã được đầu tư khoảng 150.000 đôla Mỹ - một số tiền rất lớn đối với tin tặc - để trang bị hàng trăm tên miền, địa chỉ IP và chứng chỉ số để các công ty bình phong tại Anh hoạt động một cách hợp pháp và liên tục trong suốt 12 năm qua.
Nguồn: The HackerNews