Phát hiện gián điệp mạng Sauron
- Thứ năm - 11/08/2016 17:04
- In ra
- Đóng cửa sổ này
- Mã độc tấn công VNA có mặt ở nhiều cơ quan, doanh nghiệp
- VNCERT: Cách kiểm tra và xóa tập tin chứa 4 mã độc
- VNCERT công bố 4 mã độc cần ngăn chặn khẩn cấp sau vụ Vietnam Airlines bị hack
- Vietnam Airlines bị xâm nhập từ giữa năm 2014
- Sân bay Tân Sơn Nhất và Nội Bài bị hack bởi tin tặc
Đại diện hãng bảo mật Kasperksy cho biết đã bắt đầu theo dõi cũng như nghiên cứu Sauron từ tháng 9/2015 sau khi ghi nhận sự bất thường trong hệ thống mạng khách của khách hàng là các tổ chức, cơ quan khối chính phủ tại một số quốc gia, vùng lãnh thổ trên thế giới.
Về cơ bản, Sauron là mối đe dọa an ninh mạng cấp quốc gia, chuyên tấn công vào các tổ chức bằng bộ công cụ đặc biệt được thiết kế riêng cho từng nạn nhân, qua đó khiến công cụ phát hiện mã độc truyền thống gần như trở nên vô dụng.
"Mục đích chính của cuộc tấn công này là gián điệp mạng ", báo cáo vừa được Kaspersky công bố khẳng định.
Một đoạn mã ghi nhận sự hiện diện của gián điệp mạng Sauron. |
Sauron về cơ bản đoạt quyền truy cập vào phương tiện truyền thông bị mã hóa, sử dụng hình thức tấn công thông qua nền tảng gián điệp mạng cao cấp kết hợp chặt chẽ giữa một loạt công cụ và thủ pháp đặc biệt.
Đặc điểm đáng chú ý nhất của Sauron là sự thận trọng nhằm tránh bị phát hiện bởi Sauron sẽ tùy biến mã độc (malware) cấy vào hệ thống và cấu trúc riêng cho mỗi mục tiêu và không bao giờ tái sử dụng chúng.
Phương pháp này kết hợp với vô số bộ định tuyến dùng để "xuất" tập tin/dữ liệu bị đánh cắp, ví dụ như email và DNS hợp pháp, cho phép Sauron thực hiện chiến dịch gián điệp bí mật và lâu dài trên các hệ thống mạng mục tiêu.
Các phân tích truy vết do Kaspersky đã phát hiện ra rằng, Sauron xuất hiện từ tháng 6/2011 và đến năm 2016 vẫn còn hoạt động.
Tuy nhiên, vector lây nhiễm ban đầu mà Sauron sử dụng để xâm nhập hệ thống mạng của nhiều nạn nhân mà Kaspersky ghi nhận vẫn còn là ẩn số.