Mã độc Lazarus đánh bại cả hệ thống bảo vệ

12:26, 14/11/2023

Một số lượng ngày càng lớn các mã độc và biến thể của virus hiện đang xuất hiện với khả năng vượt qua các hệ thống bảo vệ của các hệ điều hành, thậm chí ẩn mình dưới hình dạng của các ứng dụng hợp pháp để tấn công người dùng. Mới đây, Nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) của Hãng Kaspersky đã phát hiện một chiến dịch tấn công mới của nhóm tin tặc nổi tiếng Lazarus, nhắm vào các tổ chức trên toàn thế giới.

Chiến dịch này sử dụng mã độc giả mạo phần mềm hợp pháp để tấn công, đặc biệt là thiết kế để mã hóa lưu lượng truy cập web bằng chứng thư số. Mặc dù đã có các lỗ hổng được phát hiện và vá, nhưng các tổ chức trên toàn thế giới vẫn tiếp tục sử dụng phiên bản phần mềm bị trục trặc, tạo điều kiện cho Lazarus tiếp tục thực hiện hành vi tấn công mạng.

Kẻ tấn công sử dụng phần mềm độc hại SIGNBT để kiểm soát nạn nhân và áp dụng các kỹ thuật lẩn trốn để tránh phát hiện. Ngoài việc đóng vai trò là điểm lây nhiễm đầu tiên, mã độc này còn thu thập thông tin để xây dựng hồ sơ của nạn nhân.

Cuộc điều tra còn chỉ ra rằng nhóm Lazarus thường xuyên nhắm đến nhà cung cấp phần mềm, thể hiện động cơ phá vỡ chuỗi cung ứng và quyết tâm đánh cắp mã nguồn quan trọng của các công ty nạn nhân. Ông Seongsu Park, trưởng bộ phận nghiên cứu bảo mật tại GReAT Kaspersky, cho biết "Các cuộc tấn công liên tục của nhóm tin tặc Lazarus là minh chứng cho sự thay đổi chiến thuật và nỗ lực tấn công của tội phạm mạng".

Ngày càng nhiều loại mã độc có khả năng qua mặt cả phần mềm chống mã độc trên các hệ điều hành.

Việt Nam đã nằm trong tầm ngắm của các tấn công này, cùng với nhiều quốc gia khác như Mỹ, Pháp, Colombia, Tây Ban Nha, Ý, Ấn Độ và Malaysia. Erbium, một dạng mã độc mới, có xu hướng sử dụng kỹ thuật mímikri qua mặt phần mềm diệt virus (AV) bằng cách giả mạo chữ ký số và tận dụng các tiến trình chuẩn trên máy tính.

Các chuyên gia an ninh mạng khuyến cáo người dùng chọn lựa các giải pháp diệt virus có bản quyền, tích hợp công nghệ AI và nhiều tính năng bảo vệ khác để đối mặt với sự tinh vi ngày càng tăng của mã độc và biến thể của chúng.

Chữ ký số là công nghệ được sử dụng rộng rãi trong nhiều hoạt động, như giao dịch điện tử, kê khai thuế điện tử, hải quan điện tử, ngân hàng. Tuy nhiên, thời gian qua đã xuất hiện tình trạng giả mạo đơn vị cung cấp chữ ký số, gửi thông báo yêu cầu khách hàng gia hạn khi gói dịch vụ đang còn thời hạn sử dụng dài hoặc thu tiền nhưng không cung cấp dịch vụ. Do chủ quan, không ít cá nhân, doanh nghiệp đã bị lừa, mất tiền oan.

Thời gian qua, anh Trần Xuân Hưng, chủ một số doanh nghiệp trên địa bàn Hà Nội có nhận được một email thông báo nội dung gia hạn chữ ký số.

Theo đó, kể từ 5 ngày nhận được thông báo, nếu doanh nghiệp không liên hệ theo số điện thoại trong email, hệ thống sẽ tự động hủy và không thể nâng cấp được nữa. Khi đó, các tờ khai, hóa đơn điện tử sẽ không thể gửi lên hệ thống thuế, hải quan và bảo hiểm xã hội.

Các email này thường có đuôi .gmail hoặc tên miền từ nước ngoài. Nội dung thường mang tính chất dọa nạt về ngưng dịch vụ hơn là cảnh báo. Bên cạnh đó là yêu cầu gia hạn dịch vụ với mức giá cao hơn nhiều so với các đại lý, nhà cung cấp chính thống đang chào bán. Giá cao nhưng đa số các email này đều không thể hiện rõ gói dịch vụ của nhà cung cấp nào.Do chủ quan, nhiều đơn vị đã bị lừa, mất tiền oan.

Ông Lê Việt Cường, Giám đốc Trung tâm Dịch vụ Chứng thực chữ ký số, Công ty Hệ thống thông tin FPT cho biết, với người dùng nếu như dịch vụ của họ chưa hết hạn mà lại gia hạn thì với người dùng là lãng phí. Thứ 2 là nó làm giảm niềm tin của của người dùng với dịch vụ này.

Chữ ký số (Token) là dạng chữ ký điện tử, dựa trên công nghệ mã hóa công khai. Hiện nay, các doanh nghiệp coi chữ ký số như một công nghệ xác thực, đảm bảo an ninh, đảm bảo an toàn cho giao dịch qua internet, nó giải quyết toàn vẹn dữ liệu và là bằng chứng chống chối bỏ trách nhiệm trên nội dung đã ký, giúp doanh nghiệp yên tâm với giao dịch của mình.

Dịch vụ chứng thực chữ ký số là dịch vụ tin cậy vì nó gần như đại diện cho chữ ký tay của cá nhân, và đối với doanh nghiệp thì là con dấu. Vì vậy nếu như bị giả mạo thì hậu quả rất là lớn bởi hiện nay rất nhiều hợp đồng được ký qua môi trường số. Ông Lê Việt Cường cho hay.

Thực chất, chỉ có cơ quan Thuế hoặc doanh nghiệp chủ động ngừng sử dụng dịch vụ chữ ký số chứ các nhà cung cấp dịch vụ chữ ký số không thể tự ý dừng dịch vụ của doanh nghiệp còn thời hạn sử dụng dịch vụ.

Các đơn vị cung cấp dịch vụ chữ ký số khuyến cáo, khi nghi ngờ email giả mạo gia hạn, các doanh nghiệp cần chủ động liên hệ với nhà cung cấp để được hướng dẫn kiểm tra thời hạn chữ ký số, cũng như hợp đồng đăng ký dịch vụ.

Theo Tạp chí Điện tử & Ứng dụng

(https://dientuungdung.vn/ma-doc-lazarus-danh-bai-ca-he-thong-bao-ve)