Công ty bảo mật và an ninh mạng Check Point (Israel) cho biết bộ cấy có một số thành phần độc hại, bao gồm một cửa hậu tùy chỉnh có tên “Horse Shell” cho phép tin tặc duy trì quyền truy cập liên tục, xây dựng cơ sở hạ tầng ẩn danh và cho phép di chuyển ngang vào các mạng bị xâm nhập. Do thiết kế không liên quan đến phần sụn, các thành phần của bộ cấy ghép có thể được tích hợp vào nhiều phần sụn khác nhau bởi các nhà cung cấp khác nhau.
Phương pháp chính xác được sử dụng để triển khai chương trình giả mạo trên các bộ định tuyến bị nhiễm hiện chưa được biết, cũng như cách sử dụng và sự tham gia của nó trong các cuộc tấn công thực tế. Các nhà nghiên cứu nghi ngờ rằng quyền truy cập ban đầu có thể có được bằng cách khai thác các lỗi bảo mật đã biết hoặc các thiết bị dò quét mật khẩu mặc định, dễ đoán.
Theo đó, bộ cấy Horse Shell dựa trên C++ cung cấp cho kẻ tấn công khả năng thực thi các lệnh Shell tùy ý, tải lên và tải xuống các tệp đến và từ bộ định tuyến cũng như chuyển tiếp liên lạc giữa hai máy khách khác nhau. Phần sụn đã thay đổi cũng có khả năng flash một hình ảnh khác qua giao diện web của bộ định tuyến mà không bị phát hiện.
Cửa hậu của bộ định tuyến được cho là nhắm mục tiêu vào các thiết bị trên mạng dân dụng và mạng gia đình. Việc chuyển tiếp liên lạc giữa các bộ định tuyến bị nhiễm bằng cách sử dụng đường hầm SOCKS với mục đích là tạo ra một lớp ẩn danh và che giấu máy chủ cuối cùng, vì mỗi nút trong chuỗi chỉ chứa thông tin về các nút trước và sau nó. Nói cách khác, các phương pháp che giấu nguồn gốc và đích đến của lưu lượng truy cập theo cách tương tự như TOR, khiến việc phát hiện phạm vi tấn công và phá hủy nó trở nên khó khăn hơn rất nhiều.
Nếu một nút trong chuỗi bị phát hiện hoặc gỡ xuống, tin tặc vẫn có thể duy trì quyền truy cập bằng cách định tuyến lưu lượng truy cập qua một nút khác trong chuỗi. Trước đó, vào năm 2021, Cơ quan An ninh mạng Quốc gia của Pháp (ANSSI) đã trình bày chi tiết về một nhóm xâm nhập do APT31 (còn gọi là Judgement Panda hoặc Violet Typhoon ) dàn dựng, sử dụng một phần mềm độc hại nâng cao có tên là Pakdoor để cho phép các bộ định tuyến bị nhiễm giao tiếp với các bộ định tuyến khác. Các nhà nghiên cứu cho biết: “Phát hiện này là một ví dụ về xu hướng lâu dài của các tác nhân đe dọa từ Trung Quốc nhằm khai thác các thiết bị mạng kết nối Internet và sửa đổi phần mềm hoặc chương trình cơ sở của chúng”.
Trường An
thehackernews.com
17:00 | 11/08/2023
07:00 | 12/06/2023
15:00 | 20/09/2023
14:00 | 10/05/2023
09:00 | 06/03/2024
14:00 | 05/06/2023
09:00 | 06/06/2023
10:00 | 07/04/2023
07:00 | 20/04/2023
14:00 | 16/05/2023
15:00 | 12/11/2024
Theo các nhà nghiên cứu bảo mật, một trong những cuộc tấn công chuỗi cung ứng kỹ thuật số lớn nhất trong năm 2024 đã được thực hiện bởi một công ty ít tên tuổi, chuyển hướng một lượng lớn người dùng internet đến một mạng lưới các trang web cờ bạc nhái.
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
10:00 | 23/08/2024
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 28/11/2024