Phát hiện Careto - loại mã độc nguy hiểm tấn công mạng toàn cầu

10:41 | 17/02/2014 | HACKER / MALWARE

Ngày 11/2/2014, nhóm chuyên gia bảo mật của Kaspersky Lab công bố phát hiện "The Mask" (hay còn gọi là Careto), một mã độc nguy hiểm tấn công theo dạng APT (mối đe dọa tiên tiến) dựa trên ngôn ngữ Tây Ban Nha đã tham gia vào các hoạt động gián điệp mạng toàn cầu ít nhất kể từ năm 2007. “The Mask” được xây dựng vô cùng tinh vi, bao gồm một phần mềm độc hại, một rootkit, một bootkit, phiên bản Mac OS X và Linux và có thể gồm cả phiên bản dành cho Android và iOS (iPad/iPhone).

Phát hiện Careto - loại mã độc nguy hiểm tấn công mạng toàn cầu

Nạn nhân của cuộc tấn công này đã được tìm thấy ở 31 quốc gia trên toàn thế giới

Đối tượng chính The Mask nhắm đến là các cơ quan của các chính phủ, cơ quan ngoại giao và các đại sứ quán, các công ty dầu khí và năng lượng, các tổ chức nghiên cứu và các nhà hoạt động xã hội. Nạn nhân của cuộc tấn công này đã được tìm thấy ở 31 quốc gia trên toàn thế giới - từ Trung Đông và châu Âu đến châu Phi và châu Mỹ.

Mục tiêu chính của những kẻ tấn công nhằm thu thập dữ liệu nhạy cảm từ các hệ thống bị lây nhiễm, bao gồm các tài liệu văn phòng, các khóa mã hóa, cấu hình VPN, các khóa SSH (như một phương tiện xác định một người dùng đến một máy chủ SSH) và các tập tin RDP (được sử dụng bởi Remote Desktop Client để tự động mở một kết nối đến máy tính chỉ định trước).

Các nhà nghiên cứu của Kaspersky Lab nhận thức về Careto lần đầu vào năm ngoái khi họ chú ý đến một số nỗ lực khai thác một lỗ hổng trong các sản phẩm của công ty đã được sửa chữa năm năm trước đây. Lỗ hổng này giúp cho một phần mềm độc hại có khả năng tránh bị phát hiện. Tình huống này lập tức thu hút sự chú ý của các chuyên gia Kaspersky Lab và họ bắt đầu các hoạt động điều tra.

Đối với các nạn nhân bị lây nhiễm Careto, đây có thể là một“thảm họa”. Careto chặn tất cả các kênh thông tin liên lạc và thu thập các thông tin quan trọng nhất từ máy tính của nạn nhân. Việc phát hiện ra tình trạng bị tấn công là cực kỳ khó khăn vì khả năng ẩn rootkit, chức năng mặc định và ẩn các mô-đun gián điệp mạng được liên tục bổ sung.

Mã độc hại Careto được phát hiện

Costin Raiu, Giám đốc Nghiên cứu và Phân tích toàn cầu của Kaspersky Lab, cho biết: "Một số lý do khiến chúng ta tin rằng đây có thể là chiến dịch được tài trợ bởi một quốc gia nào đó. Trước hết, chúng tôi quan sát thấy các thủ thuật hoạt động của nhóm này ở mức chuyên nghiệp cao cấp, từ quản lý cơ sở hạ tầng, hoạt động tắt máy, tránh việc dò xét kiểm tra thông qua quy tắc truy cập và xóa dấu vết thay vì xóa các tập tin đăng nhập. Sự kết hợp trong The Mask tinh vi hơn cả Duqu, trở thành một trong những mối đe dọa tiên tiến nhất hiện nay. Mức độ hoạt động an ninh có thể xem là không bình thường đối với các nhóm tin tặc thông thường.”

‹ › ×

Tin liên quan

Mã độc NullMixer tự động cài đặt 20 virus khác nhau vào máy tính

14:00 | 05/10/2022

Các chuyên gia bảo mật vừa phát hiện một loại mã độc nguy hiểm, mà khi lây nhiễm vào máy tính sẽ tự động download và cài đặt thêm 20 loại virus khác nhau lên thiết bị.

Tin cùng chuyên mục

3 ứng dụng chứa mã độc XploitSPY tồn tại trên Google Play

10:00 | 07/05/2024

Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

Tin tặc lợi dụng khai thác MultiLogin của Google để chiếm quyền điều khiển phiên người dùng

10:00 | 31/01/2024

Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.

Khám phá các kỹ thuật chống phân tích mới của phần mềm độc hại GuLoader

09:00 | 25/12/2023

Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.