Theo các chuyên gia bảo mật tại Microsoft, chiến dịch tấn công được tin tặc thực hiện bằng việc sử dụng backdoor trên các thiết bị để triển khai mã độc và IRC bot để đánh cắp, chiếm đoạt tài nguyên thiết bị. Tin tặc bắt đầu bằng chuỗi tấn công Brute-force các thông tin xác thực để xâm nhậm vào các thiết bị Linux và IoT có cấu hình sai hoặc để cấu hình xác thực yếu theo mặc định ban đầu của nhà sản xuất.
Sau khi xâm nhập vào thiết bị, một phiên bản OpenSSH có chứa Trojan từ một máy chủ ở xa sẽ được tải về và cài đặt trên thiết bị mục tiêu nhằm chiếm đoạn các thông tin xác thực SSH, giúp tin tặc di chuyển được bên trong mạng và che giấu các kết nối SSH bất hợp pháp tới các thiết bị bị xâm hại. Để duy trì tấn công và che giấu các hành động xâm phạm, tin tặc còn được cho là đã cài đặt thêm các rootkit mã nguồn mở như Diamorphine và Reptile (có mã nguồn trên Github) để xóa các bản ghi và nhật ký hệ thống trên thiết bị mục tiêu (Hình 1).
Hình 1. Chuỗi tấn công đào tiền số trên thiết bị Linux hoặc IoT của tin tặc
Để đảm bảo quyền truy cập SSH liên tục vào thiết bị, tin tặc tiến hành chèn thêm hai khóa công khai vào trong tập tin cấu hình khóa xác thực SSH của tất cả người dùng trên hệ thống thiết bị mục tiêu. Sau khi xâm nhập vào thiết bị, các mã độc chạy tiến trình đào tiền số trên thiết bị, thậm chí chúng còn ưu tiên chạy các tiến trình đào do mình tạo ra và loại bỏ các tiến trình đào tiền số khác đã cài bởi nhóm tin tặc khác trước đó nếu có.
Hơn nữa, tin tặc còn triển khai thêm một phiên bản chỉnh sửa của mã độc "ZiggyStarTux" nhằm biến thiết bị thành một IRC bot có khả năng nhận lệnh từ xa bởi máy chủ được điều khiển bởi tin tặc (C2 Server – Máy chủ IRC được điều khiển bởi tin tặc) để thực hiện tấn công từ chối dịch vụ phân tán. Mã độc này được chỉnh sửa từ mã độc botnet khác có tên là "Kaiten" (hay còn gọi là "Tsunami").
ZiggyStartux được đăng ký chạy như một dịch vụ hệ thống trên thiết bị mục tiêu và được cấu hình dịch vụ tại tệp tin /etc/systemd/system/network-check.service. Sự giao tiếp giữa ZiggyStartux Bots tới máy chủ C2 được che giấu và duy trì thông qua việc sử dụng tên miền phụ của một tổ chức tài chính Đông Nam Á hợp pháp.
Microsoft quy kết chiến dịch tấn công này cho người dùng có tên "Asterzeu" trên diễn đàn tấn công mạng là cardingforum.cx. Người dùng này đã cung cấp nhiều công cụ tấn công để bán đối với các nền tảng linux, bao gồm cả backdoor SSH.
Các công bố về chiến dịch tấn công này của Microsoft diễn ra hai ngày sau khi một báo cáo về chiến dịch tấn công tương tự đã được xuất bản bởi Trung tâm ứng phó bảo mật khẩn cấp Ahnlab. Chiến dịch tấn công bao gồm mã độc Tsunami - một tên khác cho Kaiten hay một dạng DDoS Bot được cài đặt trên các máy chủ Linux SSH được cấu hình yếu. Theo phân tích của các chuyên gia an ninh mạng Microsoft, Tsunami được sử dụng để cài đặt nhiều công cụ độc hại và đào tiền điện tử khác nhau, như shellbot, xmrig coinminer và log Cleaner.
Đinh Văn Hùng
(Học viện Kỹ thuật mật mã)
11:00 | 21/03/2023
15:00 | 04/08/2023
14:00 | 17/10/2022
10:00 | 26/05/2023
15:00 | 20/12/2023
09:00 | 25/10/2023
Nhóm tin tặc Nga do nhà nước bảo trợ với tên gọi là “Sandworm” đã xâm phạm 11 nhà cung cấp dịch vụ viễn thông ở Ukraine trong khoảng thời gian từ tháng 5 đến tháng 9/2023.
14:00 | 21/09/2023
Trong gần 1 tháng trở lại đây, trào lưu chỉnh sửa ảnh anime - tạo ảnh như nhân vật phim hoạt hình qua các app như Loopsie đang được nhiều người dùng các mạng xã hội tại Việt Nam đua nhau sử dụng. Tuy nhiên, các chuyên gia bảo mật đã chỉ ra những nguy cơ tiềm ẩn khi người dùng sử dụng các ứng dụng này.
10:00 | 15/09/2023
Nhà nghiên cứu Oleg Zaytsev của Công ty An ninh mạng Guardio Labs vừa cho biết, một nhóm tin tặc có nguồn gốc từ Việt Nam đã phát tán một file nén qua Facebook Messenger. File nén này chứa công cụ đánh cắp dựa trên Python cùng các phương pháp ‘ẩn náu’ đơn giản nhưng hiệu quả.
09:00 | 14/09/2023
Trong tháng 8, Microsoft, Adobe và Apple đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
14:00 | 19/12/2023