TC+ gài mã độc Zombie
Zero vào các máy scanner, nhằm lấy cắp dữ kiện tài chánh
SC Magazine
Công ty TrapX về
An ninh Mạng đã tố cáo ngày 11/7, nhà cầm quyền Trung Quốc bị tình nghi dính
líu vào một cuộc tấn công loại "0 Day" khá đặc biệt (có nghĩa là chưa
có vá an ninh để trám lỗ hổng ) nhằm vào các công ty chuyển vận linh kiện, tiếp
liệu hàng hóa và chế hóa phẩm. Trong bản tường trình về cuộc tấn công
loại "O Day" này,
TrapX cho biết mã độc đã được kín đáo gài
vào các loại scanner cầm tay và cũng như vào nhu liệu tại một hãng xưởng
Trung Quốc về dụng cụ phụ tùng, và sau đó được gởi tới 7 công ty về chuyển
tải và tiếp liệu cùng với một công ty chế hóa phẩm. Trong mục tiêu xâm nhập vào
hệ thống ERP (Entreprise Resources Planning) và lấy cắp các dữ kiện về tài
chánh.
Theo TrapX, mã độc
loại tinh vi này được gọi là Zombie Zero, đã được gài vào hệ điều
hành Windows XP của máy scanner, cũng như trên trang mạng support của hãng
Trung Quốc nói trên
(có nghĩa nếu một hãng xử dụng loại scanner cần cập nhật, sẽ tải xuống một nhu liệu cập nhật trong đó có chứa mã độc). Máy scanner được dùng để ghi lại (flash) các ký hiệu (Id Code) các dụng cụ phụ tùng và chuyển lên máy chủ ERP bằng đường liên lạc không dây wifi.
(có nghĩa nếu một hãng xử dụng loại scanner cần cập nhật, sẽ tải xuống một nhu liệu cập nhật trong đó có chứa mã độc). Máy scanner được dùng để ghi lại (flash) các ký hiệu (Id Code) các dụng cụ phụ tùng và chuyển lên máy chủ ERP bằng đường liên lạc không dây wifi.
Khi nhân viên xử
dụng máy scanner bị gài mã độc Zombie Zero, mã độc này đột nhập vào hệ
thống điện toán của hãng, và đi tìm máy chủ có ứng dụng ERP. Sau đó,
sẽ thu thập các dữ kiện về tài chánh, về số lượng mua đồ phụ tùng, tiếp liệu
của hãng bị tấn công, gởi đến một máy chủ bên Trung Quốc,.
Mã độc vượt
qua được các hàng rào Tường Lửa (Firewall), IPS (Intrusion Detection System),
phòng chống mã độc, vì được gài ngay trong phần firmware bên dưới hệ điều
hành. TrapX tìm ra địa chỉ IP máy chủ của Zombie Zero nằm trong Trung
Tâm LanXiang, trong mạng viễn Thống UNICOM tại tỉnh Quảng Đông.
Được biết
Trường LaoXiang cũng bị khám phá là dính líu đến Chiến Dịch Tấn Công
AURORA cách đây hơn 2 năm nhằm vào công ty Google bên Trung Quốc.. Và hãng
Trung Quốc chế tạo máy scanner bị gài mã độc nằm cách Trường LaoXiang, chỉ vài khu
phố.
Những biện pháp đề
phòng các máy điện toán hay máy kỹ nghệ được điều động bởi điện
toán, bị gài mã độc trong phần hardware hay firmware:
- Thật cẩn thận
khi bị bắt buộc phải mua dụng cụ có nhu liệu (như scanner, máy y khoa được điều
khiển bằng điện toán, các máy tự động trong kỹ nghệ như máy hàn, đo nhiệt độ,
hơi nước,áp xuất,...) made in China, hay made in RPC. Cần người trách nhiệm
hãng cho biết rõ nguồn gốc, chi tiết chế tạo, các ứng dụng cài đặt,... Nên
nhờ một công ty chuyên về an ninh mạng kiểm soát lại xem cho bị gài mã độc hay
không, bằng cách thử máy trong một sandbox , để xem có những liên lạc oubound
ra bên ngoài cho một máy chủ C&C để nhận lệnh hay không?
- Nếu không bị bắt
buộc nên mua một máy tương đương nhưng không phải chế tạo từ Trung Quốc, dù giá
mắc hơn một chút, nhưng chắc chắn an toàn hơn không bị gài mã độc.
- Hiện nay có một
số máy điện thoại tinh khôn chế tạo bên Trung Quốc như loại STAR N9500 cũng bị
gài mã độc. trong firmware và không thể bỏ đi được (uninstall), trừ khi cài đặt
lại hoàn toàn.
Được biết qua tiết
lộ của phân tích viên Edward Snowden, nhóm chuyên viên rất đặc biệt TAO
(Tailored Acced Operations) của cơ quan an ninh quốc gia Hoa Kỳ, NSA cũng dùng
cách thức cài đặt ngay từ xưởng chế tạo nhằm vào một số mục tiêu đặc biệt rất
khó tấn công cách khác.
Tuy nhiên theo cái nhìn một số chuyên viên bên ngoài,
Trung Quốc chuyên xử dụng tin tặc dể đột nhập vào các hệ thống điện toán các
hãng xưởng về quốc phòng hay về kỹ thuật tiền tiến để lấy cắp kỹ thuật, bản
quyền để độc chiếm thị trường, và không bị ai kiểm soát; trong lúc NSA, ít
nhất cho dến giờ, nhắm nhiều vào các thành phần khủng bố hay nguy hại đến an
ninh Hoa Kỳ, chứ không nhằm vào các hãng xưởng ngoại quốc và các hoạt đông
bị tình nghi là vi phạm hiến pháp đang bị điều tra và đang bị Quốc Hội Hoa
Kỳ cứu xét nhằm giới hạn phạm vi và đối tượng bị theo dõi.
Nguồn: http://www.scmagazineuk.com/china-accused-of-global-zero-day-attack-on-shipping-firms/article/360406/
DienDanCTM
No comments:
Post a Comment
Thanks for watching