Nhóm Darkhotel tăng cường tấn công nhờ rò rỉ từ Hacking Team

Hãng an toàn bảo mật Kaspersky Lab vừa cho biết, ngay sau khi những tập tin của Hacking Team - công ty bán “phần mềm gián điệp hợp pháp” cho nhiều Chính phủ và cơ quan thi hành pháp luật bị rò rỉ thì nhiều nhóm gián điệp mạng bắt đầu sử dụng công cụ mà công ty này cung cấp cho khách hàng để thực hiện tấn công.

Darkhotel đã tấn công rất nhiều Flash zero-day và half-day và có thể sẽ còn tiếp tục tấn công chính xác hơn vào những nhân vật cấp cao trên toàn thế giới.Darkhotel đã tấn công rất nhiều Flash zero-day và half-day và có thể sẽ còn tiếp tục tấn công chính xác hơn vào những nhân vật cấp cao trên toàn thế giới.

Theo đó, các nhóm gián điệp mạng này đã tổ chức nhiều cuộc tấn công nhắm vào Adobe Flash Player và hệ điều hành Windows. Một trong những cuộc tấn công đó đã được nhóm gián điệp mạng Darkhotel thực hiện.

Năm 2014, các chuyên gia Kaspersky Lab đã phát hiện Darkhotel - nhóm gián điệp xuất sắc, nổi tiếng với hành động thâm nhập vào mạng Wi-Fi ở những khách sạn cao cấp, bằng cách sử dụng một lỗ hổng zero-day trong dữ liệu rò rỉ của Hacking Team hồi đầu tháng 7.

Các chuyên gia Kaspersky Lab cho biết, mặc dù chưa từng là khách hàng của Hacking Team nhưng có vẻ như Darkhotel đã có được những tập tin này ngay khi chúng bị công khai.

Ước tính trong nhiều năm vừa qua, nhóm này dường như đang đầu tư một số tiền đáng kể để bổ sung vào kho "vũ khí "của mình.

Vào năm 2015, Darkhotel mở rộng phạm vi địa lí ra khắp thế giới trong khi vẫn tiếp tục lừa đảo bằng email ở Triều Tiên, Hàn Quốc, Nga, Nhật Bản, Bangladesh, Thái Lan, Ấn Độ, Mozambique và Đức.

Trong những đợt tấn công vào năm 2014 và trước đó, nhóm này đã lạm dụng chứng chỉ số đánh cắp được và tìm cách cài đặt công cụ gián điệp vào hệ thống mục tiêu, như tấn công Wi-Fi khách sạn. Hoạt động của Darkhotel kéo dài dai dẳng tới năm 2015.

Có vẻ Darkhotel lưu giữ một kho các chứng chỉ đánh cắp được và sử dụng chúng để đánh lừa hệ thống máy tính của nạn nhân, nhằm triển khai một phần mềm đánh cắp dữ liệu. Một trong các mã chứng nhận đã bị thu hồi gần đây là chứng nhận của Xuchang Hongguang Technology Co. Ltd - công ty có chứng chỉ được dùng trong những lần tấn công trước.

APT Darkhotel cũng rất kiên nhẫn khi cố gắng lừa đảo mục tiêu bằng email, nếu không thành công, nó sẽ quay trở lại sau vài tháng và tiếp tục với kế hoạch tương tự.

"Trong nhiều năm qua, Darkhotel đã tấn công rất nhiều Flash zero-day và half-day và có thể sẽ còn tiếp tục tấn công chính xác hơn vào những nhân vật cấp cao trên toàn thế giới. Từ những lần tấn công trước, chúng tôi thấy rằng Darkhotel đã do thám nhiều Giám đốc điều hành, Phó Chủ tịch, Giám đốc bán hàng và marketing, và nhân viên nghiên cứu và phát triển cấp cao”, Kurt Baumgartner, Trưởng ban Nghiên cứu Bảo mật tại Kaspersky Lab chia sẻ thêm...

(GN)