Việc giám sát của SecureWorks cũng sẽ cho phép các nhà nghiên cứu an ninh theo dõi tốt hơn băng đảng hacker của Trung Quốc, và bởi bọn tù nhân mạng này đã thay đổi phương tiện phần mềm độc hại của chúng kể từ khi dùng Comfoo, nên vững chắc chúng sẽ làm như vậy một lần nữa, Jackson cho biết
" Chúng đang gắng thúc đẩy các hoạt động trinh sát bên thứ ba ", Stewart nói. "Chúng tôi chưa từng nhìn thấy nó được dùng với một phạm vi rộng như vậy trước đây", ông Joe Stewart - Giám đốc nghiên cứu malware (phần mềm chứa mã độc) tại SecureWorks - cho biết khi giải thích lý do tại sao ông và bạn học Đại Học là Don Jackson lại tiết lộ chiến dịch bí mật của họ.
Thường ngày, các cuộc tiến công khác có thể có cùng một mục tiêu, đó là có được thông tin nội bộ của tất tật mọi thứ từ các phần mềm bảo mật cho đến các chứng chỉ chính xác kỹ thuật số, để dùng trong các cuộc tiến công bất hợp pháp trong ngày mai.
SecureWorks đã chẳng thể tìm thấy những dữ liệu bị những kẻ tiến công móc túi, nhưng sự giám sát thụ động của họ đã gặt hái được khá nhiều thành tựu quan yếu. "Đây chỉ là phần nhỏ của [tổng số] các nạn nhân", Stewart cảnh báo. Digital Stakeout - Vào hang cọp để bắt cọp Trong hơn 18 tháng, Stewart và Jackson, giám đốc đơn vị cáng đáng các mối đe dọa truy cập mạng của SecureWorks (CTU), đã bí hiểm theo dõi một số hoạt động của Comfoo, họ tin rằng đây là việc làm của một nhóm tin tặc mà họ đặt tên là Beijing Group.
Băng đảng này là một trong hai tổ chức tin tặc hàng đầu của Trung Quốc. Để bắt đầu, Stewart đã sử dụng một mẫu phần mềm độc hại đã được dùng trong các cuộc tấn công RSA Security hồi năm 2011, do tin tặc Trung Quốc lây truyền, sau đó sử dụng thuật toán đảo ngược các đoạn mã hóa các phần mềm độc hại được các tin tặc dùng để đánh dấu các chỉ dẫn nhận và gửi từ các máy chủ ra lệnh và kiểm soát (C&C) của băng đảng này Cuối cùng, Stewart đã có thể để theo dõi các tin tặc này khi chúng đăng nhập vào các máy chủ C&C.
Công ty an ninh có trụ sở tại Atlanta này đã Thông báo trực tiếp cho một số nạn nhân, và một số khác phê chuẩn các đội phản ứng khẩn về các vấn đề an ninh máy tính của chính phủ (CERT)
Nhưng một nạn nhân như thế nào mới thu hút sự được sự để ý của chúng? Trong khi Stewart và Jackson từ chối nêu tên của bất kỳ nạn nhân nào, họ cho biết một chiến dịch đang được nhắm vào một hội nghị qua truyền hình trực tuyến của các nhà phát triển phần mềm lớn sắp diễn ra.
Mỗi dải hacker theo như Jackson nói thì đều có đặc trưng riêng, chúng ta có thể có được dấu vết của chúng bằng cách phân tích kỹ các phần mềm độc hại mà chúng dùng cho tới cách thức tổ chức các cuộc xâm nhập C & C.
Các tin tặc nhóm "Beijing Group" này còn nhắm đích tới một loạt các cơ quan chính phủ và các Bộ, các công ty tư nhân và các tổ chức thương mại trong nhiều lĩnh vực như năng lượng, truyền thông, bán dẫn, viễn thông.
"Có thể chắc chắn để giả thiết rằng chúng sẽ đổi thay công cụ tiến công", Jackson nói. Theo hai nhà nghiên cứu kỳ cựu của Dell SecureWorks, những người đã diễn đạt phát hiện của họ tại Hội nghị bảo mật Black Hat gần đây cho biết: Các phần mềm Trojan truy cập từ xa - hoặc RAT (phần mềm độc hại) - được biết đến với cái tên "Comfoo" chính là dụng cụ được sử dụng phần lớn trong các cuộc tấn công này.
Mặc dù không đi vào chi tiết cụ thể, Jackson cho biết rằng SecureWorks đã dùng các mẫu được tìm thấy trong các cuộc tiến công bằng Comfoo để xác định phần mềm độc hại mới hơn, cũng như các cuộc tấn công mà công ty này tin rằng đều có bàn tay của Beijing Group nhúng vào.
Như cách mà bọn tin tặc đã làm, Stewart "bắt cóc" địa chỉ máy chủ MAC của nạn nhân- định danh độc nhất vô nhị cho phần cứng của mạng IP (giao thức Internet), và rút cuộc là một thẻ tag thường được tin tặc sử dụng để dán nhãn cho mỗi chiến dịch ăn trộm dữ liệu. Họ cho rằng một khi những kẻ tấn công đã "đánh hơi" được thông tin chuẩn y mạng lưới của công ty về lỗ hổng bảo mật trong phần mềm, chúng sẽ tiến công vào các mục tiêu khác để đưa "tai mắt" vào ngành công nghiệp bảo mật cũng như các cuộc họp của chính phủ.
Mục tiêu tấn công thất thường Trong một thưa của SecureWorks công bố mới đây về Comfoo, công ty này cho biết, đích mới của băng đảng tin tặc này hướng tới các sản phẩm âm thanh và hội nghị truyền hình là một điều "không thông thường"
Không những thế, phát hiện của họ còn cho thấy cách mà một nhóm hacker chuyên nghiệp có thể di chuyển khắp nơi và xâm nhập vào các mạng ăn trộm thông báo rồi tẩu thoát không một dấu tích. Tiến Tùng Theo PC World. Rút cục, Jackson kết luận rằng: "miễn sao nó chỉ tiến hóa chứ không phải tạo ra một cuộc cách mạng, chúng ta vẫn còn có thể phát hiện ra chúng".
"Chúng tôi đã thực hiện giải mã các vụ na ná như thế này trước đây", Stewart nói, "nhưng với các công cụ tùy chỉnh, bạn hiếm khi có thể tìm hiểu sâu hoặc biết được mức độ chi tiết của các cuộc tiến công và nạn nhân".
Thông báo cho nạn nhân SecureWorks cho biết nhờ giải pháp stakeout (vào hang cọp để bắt cọp) ở trên, với thuộc tính "vô hình" của nó giúp bảo đảm rằng các tin tặc trong băng đảng Trung Quốc không biết họ đã bị theo dõi, và phát hiện ra hơn 100 nạn nhân, hơn 64 chiến dịch khác nhau và hơn 200 biến thể của Comfoo.
" Tuốt tuột đều có mô hình tổ chức riêng ", Jackson nói. Dường như chúng muốn lấy mọi thông tin từ bất cứ đâu và bất cứ ai, mặc dầu các nạn nhân thường tập hợp ở các khu vực như Nhật Bản, Ấn Độ, Hàn Quốc và Mỹ.
"Nhưng miễn nguyên lý cốt lõi của các cuộc tiến công vẫn được giữ nguyên, chúng tôi vẫn sẽ có thể đối phó lại chúng [trong tương lai] với các cuộc tiến công đó".
