Phần mềm gián điệp này, theo phân tích của CyRadar, là biến thể mới của FlawedAmmyy RAT (Remote Access Tool). Đây vốn là phần mềm gián điệp đang được nhắc đến nhiều trong các cuộc tấn công có chủ đính nhằm vào các ngân hàng trên thế giới từ một tháng trở lại đây. Đứng đằng sau nó là nhóm tội phạm mạng chuyên nghiệp chuyên tấn công vào các ngân hàng.
Theo thông tin từ Công ty CP An toàn thông tin CyRadar, ngày 22/08/2018, hệ thống giám sát của CyRadar đã phát hiện ra cuộc tấn công gián điệp mới nhắm vào 1 ngân hàng lớn của Việt Nam. Ngay sau đó không lâu, CyRadar liên tiếp phát hiện ra một số tổ chức khác cũng đã bị tấn công với hình thức tương tự. Tại thời điểm tấn công, hầu hết các hệ thống an ninh mạng đều đã bị đánh bại. Các phần mềm diệt virus trên thế giới đều không kịp nhận diện được mã độc này cũng như các tường lửa chưa thể ngăn chặn được các kết nối tới máy chủ điều khiển của mã độc.
Tại hệ thống được CyRadar giám sát, ngay sau khi được phát hiện, mã độc đã nhanh chóng được loại bỏ khỏi hệ thống. Hầu như không có thiệt hại đáng kể nào xảy ra. Tuy nhiên, rất có thể nhiều tổ chức tài chính khác tại Việt Nam cũng đang hứng chịu cuộc tấn công như vậy mà chưa kịp thời xử lý.
Một kết nối lạ được phát hiện bởi hệ thống CyRadar Advanced Threat Detection
|
Cuộc tấn công khởi đầu bằng email chứa file văn bản pdf đính kèm, được gửi tới 1 số nhân vật quan trọng của ngân hàng. Do mã độc hoàn toàn mới, nên phần mềm diệt virus trên các máy tính của ngân hàng chưa thể phát hiện và xóa bỏ.
"Khi người dùng bị đánh lừa để mở file pdf lên, lập tức mã độc hại được nhúng trong file thực hiện một loạt các hành động âm thầm để khéo léo tải xuống máy tính của nạn nhân phần mềm gián điệp. Nó có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép hacker từ xa còn điều khiển được máy tính bị lây nhiễm. Chưa hết, nó còn có thể nghe lén được các cuộc gọi bằng âm thanh trên máy tính, cũng như sử dụng máy tính đó làm bàn đạp để tấn công sang các máy tính xung quanh", chuyên gia bảo mật nhận định.
Dưới đây là tóm tắt các giai đoạn của mã độc từ khi nạn nhân mở file pdf:
Quá trình thực thi mã độc.
|
"Nếu bạn là một nhân viên ngân hàng, cần hết sức lưu ý trước khi mở một file văn bản được gửi đến cho mình mà bạn không thực sự hiểu lý do xuất hiện của nó, đặc biệt là trong những ngày này, khi thế giới đang ghi nhận một chiến dịch tấn công rộng khắp nhắm tới các ngân hàng và tổ chức tài chính.
Theo chúng tôi, các ngân hàng tại Việt Nam cần nâng cao cảnh giác, nhanh chóng rà soát hệ thống mạng để phát hiện ra các kết nối và file nghi ngờ", chuyên gia bảo mật Cyradar khuyến cáo.