Công ty bảo mật và an ninh mạng Check Point (Israel) cho biết bộ cấy có một số thành phần độc hại, bao gồm một cửa hậu tùy chỉnh có tên “Horse Shell” cho phép tin tặc duy trì quyền truy cập liên tục, xây dựng cơ sở hạ tầng ẩn danh và cho phép di chuyển ngang vào các mạng bị xâm nhập. Do thiết kế không liên quan đến phần sụn, các thành phần của bộ cấy ghép có thể được tích hợp vào nhiều phần sụn khác nhau bởi các nhà cung cấp khác nhau.
Phương pháp chính xác được sử dụng để triển khai chương trình giả mạo trên các bộ định tuyến bị nhiễm hiện chưa được biết, cũng như cách sử dụng và sự tham gia của nó trong các cuộc tấn công thực tế. Các nhà nghiên cứu nghi ngờ rằng quyền truy cập ban đầu có thể có được bằng cách khai thác các lỗi bảo mật đã biết hoặc các thiết bị dò quét mật khẩu mặc định, dễ đoán.
Theo đó, bộ cấy Horse Shell dựa trên C++ cung cấp cho kẻ tấn công khả năng thực thi các lệnh Shell tùy ý, tải lên và tải xuống các tệp đến và từ bộ định tuyến cũng như chuyển tiếp liên lạc giữa hai máy khách khác nhau. Phần sụn đã thay đổi cũng có khả năng flash một hình ảnh khác qua giao diện web của bộ định tuyến mà không bị phát hiện.
Cửa hậu của bộ định tuyến được cho là nhắm mục tiêu vào các thiết bị trên mạng dân dụng và mạng gia đình. Việc chuyển tiếp liên lạc giữa các bộ định tuyến bị nhiễm bằng cách sử dụng đường hầm SOCKS với mục đích là tạo ra một lớp ẩn danh và che giấu máy chủ cuối cùng, vì mỗi nút trong chuỗi chỉ chứa thông tin về các nút trước và sau nó. Nói cách khác, các phương pháp che giấu nguồn gốc và đích đến của lưu lượng truy cập theo cách tương tự như TOR, khiến việc phát hiện phạm vi tấn công và phá hủy nó trở nên khó khăn hơn rất nhiều.
Nếu một nút trong chuỗi bị phát hiện hoặc gỡ xuống, tin tặc vẫn có thể duy trì quyền truy cập bằng cách định tuyến lưu lượng truy cập qua một nút khác trong chuỗi. Trước đó, vào năm 2021, Cơ quan An ninh mạng Quốc gia của Pháp (ANSSI) đã trình bày chi tiết về một nhóm xâm nhập do APT31 (còn gọi là Judgement Panda hoặc Violet Typhoon ) dàn dựng, sử dụng một phần mềm độc hại nâng cao có tên là Pakdoor để cho phép các bộ định tuyến bị nhiễm giao tiếp với các bộ định tuyến khác. Các nhà nghiên cứu cho biết: “Phát hiện này là một ví dụ về xu hướng lâu dài của các tác nhân đe dọa từ Trung Quốc nhằm khai thác các thiết bị mạng kết nối Internet và sửa đổi phần mềm hoặc chương trình cơ sở của chúng”.
Trường An
thehackernews.com
17:00 | 11/08/2023
07:00 | 12/06/2023
15:00 | 20/09/2023
14:00 | 10/05/2023
09:00 | 06/03/2024
14:00 | 05/06/2023
09:00 | 06/06/2023
10:00 | 07/04/2023
07:00 | 20/04/2023
14:00 | 16/05/2023
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
