Sâu tấn công Thế vận hội mùa đông đã trở lại

Đây là mối đe doạ cấp cao tấn công vào các tổ chức, nhà cung cấp, đối tác của Thế vận hội mùa đông 2018 ở Pyeongchang, Hàn Quốc, thực hiện hoạt động phá hoạt mạng lưới bằng sâu máy tính (worm).

Đã có nhiều dấu hiệu chỉ ra nhiều hướng khác nhau về nguồn gốc của sự tấn công này, gây nên nhầm lẫn trong bảo mật thông tin hồi tháng 2/2018.

Một vài dấu hiệu hiếm và tinh vi bị phát hiện bởi Kaspersky Lab cho rằng: đó là nhóm Lazarus liên quan đến Triều Tiên đứng đằng sau hoạt động này. Tuy nhiên, hồi tháng 3, Kaspersky Lab bác nghi vấn này.

Theo Kaspersky Lab, các nhà nghiên cứu vừa phát hiện hoạt động của Olympic Destroyer đã trở lại và tập trung vào mục tiêu ở châu Âu.

Nhân tố đe doạ đang phát tán phần mềm độc hại qua các tài liệu giả mạo gần giống với tài liệu vũ khí không gian mạng dùng để chuẩn bị cho khai mạc Olympic mùa đông. Một tài liệu “bẫy” như vậy liên quan đến “Spiez Convergence”, hội nghị về các đe doạ hoá - sinh diễn ra tại Thuỵ Sĩ, được tổ chức bởi phòng nghiên cứu Spiez (tổ chức đóng vai trò chính trong cuộc điều tra tấn công Salisbury).

Một tài liệu khác nhắm đến cơ quan kiểm định sức khoẻ và thú y ở Ukraina. Các nhà nghiên cứu đã phát hiện tài liệu giả mạo bằng tiếng Nga và tiếng Đức.

Mục tiêu cuối cùng của mối nghi hại nói trên là cấp quyền truy cập chung cho các máy tính bị tổn hại. Bên cạnh đó, một cơ chế mở và miễn phí, phổ biến như Powershell Empire, được sử dụng cho giai đoạn thứ hai của cuộc tấn công.

Những kẻ tấn công sử dụng web server hợp lệ để điều hành và quản lý phần mềm độc hại. Các máy chủ sử dụng một hệ thống quản lý nội dung (CMS) phổ biến là Joomla.

Nhà nghiên cứu của Kaspersky Lab phát hiện: một trong những máy chủ quản lý payload độc hại sử dụng phiên bản Joomla (v1.7.3) phát hành hồi tháng 11/2011; đây là phiên bản đã cũ nên bị khai thác để tấn công.

Dựa trên phép đo từ xa của Kaspersky Lab và dữ liệu được đăng tải lên dịch vụ, các nhà nghiên cứu của Kaspersky Lab đã xác định được mối đe dọa nói trên đang nhắm đến Đức, Pháp, Thuỵ Sĩ, Hà Lan, Ukraina và Nga.

Ông Vitaly Kamluk - nhà nghiên cứu bảo mật tại Kaspersky Lab, cho biết:“Xuất hiện vào đầu năm nay, Olympic Destroyer với mánh khóe lừa đảo tinh vi đã thay đổi quy luật cuộc chơi hoàn toàn, khiến các nhà nghiên cứu mắc sai lầm khi chỉ thấy được một phần của bức tranh. Việc phân tích và ngăn chặn các mối đe dọa nên dựa vào hợp tác giữa cá nhân và chính phủ trên toàn thế giới. Chúng tôi tin rằng: qua việc chia sẻ công khai các kết quả nghiên cứu, các nhà nghiên cứu bảo mật sẽ dễ dàng phát hiện ra tấn công và giảm thiểu tác nhân gây hại trong tương lai”.

Theo chia sẻ từ ông Vitaly Kamluk, trong cuộc tấn công trước, trong suốt Thế vận hội mùa đông, giai đoạn thăm dò bắt đầu một vài tháng trước khi sâu máy tính tự điều chỉnh cấu trúc mạng. Do vậy, hiện nay có thể Olympic Destroyer đang chuẩn bị tấn công tương tự với động cơ mới. Sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công các phần mềm độc lại liên quan đến Olympic Destroyer.