Hacker tăng cường "dòm ngó" Twitter, Facebook, Apple và Microsoft

Nhóm tin tặc tấn công vào Twitter, Facebook, Apple và Microsoft cách đây hai năm gần đây đã bất ngờ trở lại và gia tăng các hoạt động nhắm vào các công ty này. Các chuyên gia bảo mật cho rằng nhóm này đang muốn khai thác các thông tin về bí mật kinh doanh và sở hữu trí tuệ để kiếm lợi nhuận.

Các nhà nghiên cứu bảo mật từ Kaspersky Lab và Symantec gọi nhóm hacker này là Wild Neutron hoặc Morpho. Nhóm này được cho là đứng sau việc đột nhập vào cơ sở dữ liệu của 45 công ty lớn kể từ năm 2012.

Sau một cuộc tấn công quy mô hướng vào Twitter, Facebook, Apple và Microsoft vào năm 2013, Morpho đã tạm dừng hoạt động. Tuy nhiên, các cuộc tấn công đã được nối lại vào năm 2014 và cường độ ngày càng bị gia tăng (theo cảnh báo của Kaspersky Lab và Symantec).

Symantec xác định được 49 tổ chức khác nhau ở hơn 20 quốc gia đã trở thành nạn nhân của nhóm Morpho từ năm 2012. Đa số "nạn nhân" đến từ lĩnh vực công nghệ, dược phẩm, hàng hóa, các lĩnh vực pháp luật và có trụ sở tại Mỹ, Châu Âu, Canada.

Kaspersky cho biết thêm các công ty bị xâm nhập còn hoạt động ở nhiều lĩnh vực khác như Bitcoin, đầu tư, y tế, bất động sản, sáp nhập và mua lại giao dịch cũng không loại trừ cả các cá nhân người dùng.

Sự vắng mặt của các chính phủ và cơ quan ngoại giao trong danh sách nạn nhân khiến các chuyên gia loại trừ khả năng nhóm hacker này được một quốc gia nào đó tài trợ. Thay vào đó, nó có thể là một băng nhóm tội phạm mạng rất tinh vi với mục đích khai thác các thông tin kinh doanh để hưởng lợi về tài chính, ví dụ như đánh cắp các bí mật kinh doanh để bán cho đối thủ của các công ty này.

Nhóm này đã khai thác lỗ hổng zero-day trên Flash Player và Java để lấy cắp thông tin từ nhà sản xuất Đài Loan Acer, những thông tin này được sử dụng để đăng kí các chương trình độc hại của nhóm (để nắm quyền điều khiển và truy cập cơ sở dữ liệu của nạn nhân). Điều này cho thấy nhóm đã sử dụng các công cụ xâm nhập khá phức tạp và tinh vi.

Phương pháp này cũng được nhóm hacker dùng để tấn công iOS và nhiều diễn đàn nổi tiếng như expatforum.com, forum.samdroid.net, emiratesmac, mygsmindia.com… Kaspersky cho biết nếu thành công, một backdoor được phát triển bởi nhóm này sẽ được cài đặt vào các thiết bị Windows hoặc Mac OS X. Sau đó, các tin tặc sẽ sử dụng thêm các công cụ tủy chỉnh để kết nối từ thiết bị này sang các thiết bị khác.

Symantec thì nói rằng thủ đoạn của Morpho nhắm vào các chi nhánh của công ty đầu tiên, sau đó lợi dụng mạng nội bộ để tấn công ngược lại trụ sở chính của những doanh nghiệp này.

"Trong nhiều cuộc tấn công, nhóm đã thành công trong việc kiểm soát được máy chủ email Microsoft Exchange hoặc Lotus Domino để chặn các email công ty và sử dụng chúng để gửi email giả mạo. Hệ thống quản lí nội dung doanh nghiệp cũng bị tấn công. Thông thường tin tặc hay tìm kiếm các thông tin liên quan đến chính sách, hồ sơ tài chính, tài liệu giới thiệu sản phẩm và đào tạo của công ty".

Theo Symantec, đa số các thành viên trong nhóm tin tặc này sử dụng thành thạo tiếng Anh. Trong khi đó, Kaspersky lại tìm thấy các câu lệnh bằng cả tiếng Rumani và Nga khi nhóm này tiến hành tấn công các mục tiêu. Từ đó có thể thấy phần lớn các cá nhân của nhóm đang sinh sống tại Mỹ hoặc ít nhất là tạm chuyển đến Mỹ vì các mục tiêu đa số có trụ sở chính tại đây.

Symantec cho biết Morpho là một nhóm có kỹ thuật và trình độ khá cao và đây có thể là một thách thức dành cho an ninh mạng, an ninh thông tin của các công ty lớn trong thời gian tới.

Tham khảo: Pcworld