Tin tặc đã lợi dụng dịch vụ Google Developers để che đậy hoạt động giữa phần mềm độc hại và các máy chủ tấn công.
Hãng bảo mật FireEye mới đây vừa cho hay đã phát hiện một nhóm hacker khá sáng tạo trong việc lợi dụng các dịch vụ từ Goolge và các công ty hạ tầng Internet để che giấu các hoạt động phạm pháp của mình.
Các cuộc tấn công này được FireEye phát hiện hồi tháng 03 (và gán cho tên gọi “Poisoned Hurricane”) trong khi các chuyên gia bảo mật theo dõi, phân tích lưu lượng truy cập từ những hệ thống bị nhiễm Kaba, một biến thể của loại
trojan điều khiển từ xa khá nổi tiếng tên gọi PlugX.
FireEye cho biết thêm rằng nạn nhân của các cuộc tấn công được phát hiện nhiều nhất tại Mỹ, một số nhà cung cấp dịch vụ Internet tại Châu Á, một tổ chức tài chính và chính phủ thuộc quốc gia Châu Á. Ngoài thông tin trên, FireEye không cung cấp thêm bất kỳ thông tin nào khác về nạn nhân của các vụ tấn công này.
Được biết, nhóm hacker chưa thể xác định danh tính này sử dụng kỹ thuật Spear Phishing để tấn công lừa đảo các hệ thống máy tính của nạn nhân, sau đó dùng malware để lấy cắp các thông tin nhạy cảm của họ và gửi ngược về lại các máy chủ tấn công (C&C server).
Ngay sau khi phát hiện, FireEye đã thông báo cho Google và Hurricane Electric (nhà cung cấp dịch vụ DNS công cộng) vốn là 2 công ty đang bị các hacker lợi dụng. Theo mô tả, Google và Hurricane Electric bị các hacker xem như là một trạm chuyển mạch để chuyển tiếp các thông tin giữa phần mềm độc hại Kaba với các C&C server. Không chỉ vậy Kaba còn được đăng ký giấy chứng nhận hợp pháp từ nhóm “Police Mutual Aid Association” và có giấy chứng nhận đã hết hạn được cấp từ tổ chức tên gọi MOCOMSYS INC.
Ned Moran, chuyên gia cao cấp tại FireEye cho biết rằng tin tặc đã dùng một chiến thuật khá thông minh để lừa đảo các nhà quản trị mạng để khiến họ tin rằng những cuộc tấn công đến từ một nguồn đáng tin cậy. Phần mềm độc hại mà các hacker sử dụng có thể giả mạo cả những thông tin điều khiển nằm trong các http request, http response. Và, các phát hiện còn cho thấy có đến 21 tên miền hợp pháp được sử dụng trong các cuộc tấn công của kẻ xấu.
Hiện tại, Ned Moran cho biết cả Google và Hurricane Electric đều đã gỡ bỏ hoàn toàn cơ chế tấn công của kẻ xấu.
Theo PCWorld VN.