Nước cờ mới của nhóm gián điệp Sofacy

Kaspersky Lab vừa phát đi thông cáo, mối đe dọa nói tiếng Nga Sofacy (còn được biết với tên APT28 hay Fancy Bear) đang chuyển mục tiêu sang Viễn Đông và nhắm đến các tổ chức quân sự, quốc phòng và ngoại giao ngoài các mục tiêu có liên quan đến NATO.

Nước cờ mới của nhóm gián điệp Sofacy - sofacy review1
 

Các nhà nghiên cứu Kaspersky Lab đã phát hiện ra rằng, Sofacy đôi khi chồng chéo với các mối đe dọa khác bao gồm cả Turla nói tiếng Nga và Danti nói tiếng Trung Quốc về nạn nhân mục tiêu. Các nhà nghiên cứu cũng đã tìm thấy backdoor của Sofacy trên một máy chủ trước đó bị chiếm quyền bởi mối đe dọa nói tiếng Anh đứng sau Lamberts. Máy chủ thuộc tập đoàn quân sự và hàng không vũ trụ ở Trung Quốc.     
           

Sofacy là nhóm gián điệp mạng mà các nhà nghiên cứu Kaspersky Lab đã theo dõi nhiều năm qua. Vào tháng 2 vừa qua, Kaspersky Lab công bố tổng quan các hoạt động của Sofacy năm 2017, tiết lộ bước đi dần dần từ các mục tiêu liên quan đến NATO tới Trung Đông, Trung Á…. Sofacy sử dụng lừa đảo để ăn cắp thông tin, bao gồm thông tin tài khoản, thông tin nhạy cảm và tài liệu. Sofacy cũng bị nghi ngờ phân phối các dữ liệu vận chuyển nguy hiểm đến các mục tiêu khác nhau. 
 

Các phát hiện mới cho thấy Sofacy không phải là kẻ săn mồi duy nhất theo dõi các khu vực này, và điều này đôi khi dẫn đến sự chồng chéo giữa các đối tượng đe dọa rất khác nhau. Trong trường hợp của Sofacy, các nhà nghiên cứu đã tìm ra các kịch bản nơi phần mềm độc hại Zebrocy đã cạnh tranh để nạn nhân truy cập với nhóm Mosquito Turla nói tiếng Nga; và nơi backdoor của SPLM cạnh tranh với Turla truyền thống và các cuộc tấn công của nhóm Danti. Các mục tiêu chia sẻ bao gồm các cơ quan hành chính nhà nước, công nghệ, khoa học và các tổ chức liên quan đến quân sự trong hoặc từ Trung Á.

 

Trong một số trường hợp, các mục tiêu dường như phải chịu cùng lúc các cuộc tấn công từ cả SPLM lẫn Zebrocy. Tuy nhiên, chồng chéo nhất có lẽ là giữa Sofacy và mối đe dọa nói tiếng Anh đứng sau Lamberts. Kết nối này đã được phát hiện sau khi các nhà nghiên cứu phát hiện ra sự hiện diện của Sofacy trên một máy chủ đã xác định trước đó là bị tổn hại bởi phần mềm độc hại Gray Lambert. Máy chủ này thuộc về một tập đoàn Trung Quốc chuyên thiết kế và sản xuất các công nghệ hàng không và vũ trụ.
 

Tuy nhiên, trong trường hợp này, giao diện SPLM gốc cho Sofacy vẫn là ẩn số. Điều đó đưa ra một số khả năng giả thuyết, bao gồm cả thực tế là Sofacy có thể sử dụng cách khai thác mới và chưa bị phát hiện hoặc một đường mới của backdoor; hoặc Sofacy đã bằng cách nào đó đã quản lý để khai thác các kênh truyền thông của Gray Lambert để tải phần mềm độc hại của mình. Điều này thậm chí có thể hiểu các chỉ số của Sofacy có thể là một nước cờ sai, do sự hiện diện của Lambert trước đây. Các nhà nghiên cứu tin rằng câu trả lời chắc chắn nhất là một tập lệnh PowerShell mới hoặc ứng dụng web hợp pháp nhưng dễ bị xâm nhập đã được khai thác để tải và thực thi mã SPLM trong trường hợp này. Nghiên cứu hiện vẫn đang được tiến hành.
 

Ông Kurt Baugartner, trưởng nhóm nghiên cứu bảo mật, Kaspersky Lab cho biết: “ Sofacy đôi khi được miêu tả là hoang dã và liều lĩnh, nhưng theo những gì chúng tôi thấy, nhóm có thể thực tế, cẩn thận và nhanh nhẹn. Hoạt động của chúng ở phương Đông phần lớn đã được báo cáo, nhưng rõ ràng đây không phải là nhân tố đe dọa duy nhất quan tâm đến khu vực này, hoặc thậm chí trong các mục tiêu tương tự. Khi mối đe dọa ngày càng trở nên đông đúc và phức tạp hơn, chúng ta có thể gặp nhiều ví dụ về chồng chéo mục tiêu – và nó có thể giải thích tại sao nhiều nhân tố đe doạ kiểm tra các hệ thống nạn nhân với sự có mặt của những kẻ xâm nhập khác trước khi tung ra các cuộc tấn công của chúng”.
 

Các nhà nghiên cứu cũng nhận thấy rằng, Sofacy giờ đây duy trì các phân khu riêng biệt cho mỗi công cụ chính của nó, với các nhóm để mã hóa, phát triển và nhắm mục tiêu của SPLM (còn gọi là CHOPSTICK và Xagent), GAMEFISH và Zebrocy. SPLM được coi là công cụ giai đoạn thứ hai chủ yếu và được chọn lọc nhất của Sofacy, trong khi Zebrocy được sử dụng cho các cuộc tấn công khối lượng lớn. Theo các nhà nghiên cứu, vào đầu năm 2018, Sofacy đã nhắm mục tiêu vào các tổ chức thương mại lớn ở Trung Quốc bằng SPLM, trong khi triển khai Zebrocy rộng khắp Armenia, Thổ Nhĩ Kỳ, Kazahkstan, Tajikistan, Afghanistan, Mông Cổ, Trung Quốc và Nhật Bản.

 

Các sản phẩm bảo mật của Kaspersky Lab phát hiện và ngăn chặn thành công các cuộc tấn công của Sofacy được biết đến, và một số khả năng nhiều thách thức hơn có thể yêu cầu khởi động lại. Với các tổ chức có các hoạt động quân sự, quốc phòng và các vấn đề liên quan đến ngoại giao ở các khu vực bị ảnh hưởng, Kaspersky Lab khuyên nghị nên thực hiện các biện pháp sau để tránh trở thành nạn nhân bị tấn công nhắm mục tiêu: 
 

1. Sử dụng giải pháp bảo mật cấp doanh nghiệp đã được kiểm chứng kết hợp với các công nghệ chống tấn công nhắm mục tiêu như giải pháp Kaspersky Threat Management and Defense. Giải pháp này có khả năng phát hiện và ngăn chặn những cuộc tấn công nhắm mục tiêu nâng cao bằng cách phân tích các dị thường trên mạng và cung cấp cho các nhóm an toàn mạng toàn màn hình thông qua mạng và tự động hóa phản hồi. 
 

2. Cung cấp cho nhân viên an ninh quyền truy cập vào các dữ liệu tình báo mới nhất của mối đe dọa, điều này sẽ trang bị cho họ các công cụ hữu ích để nghiên cứu tấn công nhắm mục tiêu, như các chỉ số về sự chiếm quyền (IOC), YARA và báo cáo các mối đe dọa tiên tiến tùy biến.
 

3. Nếu bạn phát hiện các dấu hiệu đầu tiên của cuộc tấn công mục tiêu, hãy xem xét các dịch vụ bảo vệ được quản lý cho phép bạn phát hiện các mối đe dọa cấp cao, giảm thời gian chờ và sắp xếp phản hồi kịp thời.

Ô Lâu

 

Mở bán online, Honor 9 Lite cháy hàng trong 1 giờ

Honor cho biết phiên bản Honor 9 Lite đã được bán hết trong vòng 48 phút, 50 phút và 58 phút trong lần ra mắt sản phẩm trên lần lượt tại các trang thương mại điện tử Shopee, Lazada và Tiki vào ngày 13/3.

Spotify cùng tham vọng “đốn tim” thị trường nghe nhạc Việt Nam

Ngày 13/3/2018, dịch vụ stream nhạc Spotify (Thụy Điển) chính thức ra mắt thị trường Việt Nam với kho nhạc hơn 35 triệu bài hát quốc tế và nhạc Việt, cùng những trải nghiệm các tính năng nghe nhạc thông minh dành cho cả hai nhóm người dùng miễn phí và có trả phí.

Cổ đông AVG đặt cọc 450 tỷ đồng để cam kết hủy hợp đồng với Mobifone

Liên quan đến sự việc Mobifone mua AVG từ 2016 và hủy hợp đồng mới đây, Mobifone cho biết theo thỏa thuận hai bên, nhóm cổ đông AVG đã đặt cọc số tiền gần 450 tỷ đồng để cam kết thực hiện việc hủy hợp đồng.

Kaspersky treo thưởng 100.000 USD cho những ai tìm ra lỗ hổng

Trong khuôn khổ Sáng kiến Minh bạch Toàn cầu của mình, cùng với việc mở rộng chương trình Bug Bounty, Kaspersky Lab công bố tăng phần thưởng lên đến 100.000 đô la cho việc tìm ra các lỗ hổng nghiêm trọng trong một số sản phẩm hàng đầu của công ty một cách có trách nhiệm.

Ứng dụng chuỗi khối Blockchain trong công nghiệp Robot và trí tuệ nhận tạo

Ngày 31/3/2018 tại TP.HCM, sẽ diễn ra hội thảo về ứng dụng chuỗi khối Blockchain trong ngành công nghiệp Robot và trí thông minh nhân tạo AI. Sự kiện do Mạng lưới giáo dục Blockchain (BEN) tổ chức, với sự tài trợ của NULS và Canya.

OPPO bỏ qua F6, tiến thẳng F7, màn hình tai thỏ, 19/4 ra mắt Việt Nam

OPPO đã “úp mở” một sản phẩm mới tại Ấn Độ mà các trang công nghệ lớn xác định tên sản phẩm là OPPO F7. Chiếc máy này khá giống OPPO R15 vốn đã lộ thông tin trước đây, một nguồn tin riêng xác nhận 19/4 tới sản phẩm này sẽ có mặt tại Việt Nam.

Top smartphone dưới 6 triệu tích hợp Face Unlock đáng mua

Tính năng mở khóa bằng gương mặt (Face Unlock) đang dần trở thành xu hướng nhờ tính tiện dụng và “hiệu ứng” kể từ khi xuất hiện iPhone X. Vậy nếu muốn trải nghiệm chức năng này chỉ với dưới 6 triệu đồng, người dùng nên cân nhắc những smartphone nào?

ELSA – ứng dụng học tiếng Anh toàn cầu nhận được nguồn đầu tư 3,2 triệu USD

ELSA, ứng dụng học tiếng Anh sử dụng công nghệ trí thông minh nhân tạo và nhận diện giọng nói vừa thông báo đã huy động được vòng vốn Pre-Series A với số tiền 3.2 triệu đô từ nhà đầu tư Monk’s Hill Ventures – một trong những nhà đầu tư lâu năm trên thị trường Đông Nam Á.

AMD Ryzen thế hệ mới lên kệ tại thị trường Việt Nam

Hai sản phẩm APU Ryzen thế hệ mới (tên mã Raven Ridge) sẽ được bán ra thị trường Việt với mức giá lần lượt là 4,349 triệu đồng cho Ryzen 5 2400G và 2,62 triệu đồng cho Ryzen 3 2200G.

HP ra mắt loạt sản phẩm mới sở hữu nhiều công nghệ tiên phong

Ngày 8/3, HP giới thiệu ra thị trường loạt sản phẩm với những cải tiến mới về thiết kế, hiệu năng và tăng cường tính bảo mật cao. Bao gồm laptop dành cho doanh nghiệp HP EliteBook 800 series bảo mật độc quyền cùng công cụ kết nối tối ưu, máy trạm di động HP ZBook 14u/15u chống nhìn trộm, trạm kết nối HP Thunderbolt™ Dock G2 tích hợp tính năng đàm thoại trực tuyến đa phương, và 4 mẫu màn hình HP 4K displays.