Buzz
Những hacker người Iran đã hoạt động sôi nổi gần đây, tăng cường loạt cuộc tấn công nhắm mục tiêu trên khắp Trung Đông và nước ngoài. Và một báo cáo từ công ty trí tuệ đe dọa FireEye trong tuần này mô tả một chiến dịch lớn bắt dữ liệu toàn cầu, thực hiện trong hai năm qua, mà công ty đã liên kết sơ bộ với Iran.
Sử dụng một chiến thuật cổ điển để làm suy giảm an ninh dữ liệu khi nó di chuyển qua mạng, những hacker này đã chiếm đoạt dữ liệu nhạy cảm như thông tin đăng nhập và chi tiết kinh doanh từ các nhà mạng, nhà cung cấp dịch vụ internet, tổ chức chính phủ và các tổ chức khác ở Trung Đông, Bắc Phi, Châu Âu và Bắc Mỹ. Các nhà nghiên cứu của FireEye cho biết các mục tiêu và loại dữ liệu bị đánh cắp nhất quán với các lợi ích gián điệp của chính phủ Iran—và ai đứng sau cuộc tấn công khổng lồ này hiện đã có một kho dữ liệu có thể kích thích các cuộc tấn công mạng trong nhiều năm tới.
“Điều này phù hợp với những gì chúng ta đã thấy Iran làm trước đó và có dấu hiệu chỉ đến đó, nhưng chúng tôi chỉ muốn công bố điều này vì nó đang ảnh hưởng đến hàng chục đơn vị,” nói Ben Read, quản lý cao cấp phân tích gián điệp mạng tại FireEye. “Chúng tôi chưa thấy là cuộc tấn công này sẽ là cuộc tấn công cuối cùng.”
Để hút dữ liệu nhạy cảm từ hàng loạt mục tiêu, những kẻ tấn công đã ứng dụng các biến thể của kỹ thuật được biết đến là Đánh Cắp DNS. Phương pháp này tận dụng nhược điểm trong các giao thức cơ bản hỗ trợ internet để chuyển hướng dữ liệu vào tay của những kẻ tấn công.
Khi bạn tải một trang web trong trình duyệt hoặc sử dụng một dịch vụ web, bạn nhận được nội dung chính xác từ máy chủ web phù hợp vì quá trình kiểm tra “Domain Name System” diễn ra ẩn sau cúi. Theo cách này, DNS servers tiết lộ con đường mà trình duyệt hoặc dịch vụ cần theo để kết nối với điểm đến dự định.
Hãy tưởng tượng như thế này: Nếu bạn thay đổi các số khác trong danh bạ điện thoại thành số của bạn, hoặc thao tác hạ tầng để một loạt các số khác cũng đổ chuông trên đường dây của bạn, bạn có thể nghe trộm tất cả các cuộc gọi mà không cần mục tiêu của bạn nhận ra điều gì đó không ổn.
Trong trường hợp vụ tấn công Đánh Cắp DNS lớn mà FireEye phát hiện, những hacker đã thao túng bản ghi DNS từ tháng 1 năm 2017 để chặn dữ liệu email, tên người dùng, mật khẩu và chi tiết về tên miền web của các tổ chức.
Chính kỹ thuật này không mới lạ; những kẻ tấn công đã lợi dụng Đánh Cắp DNS từ nhiều năm trước, và cộng đồng nghiên cứu an ninh đã biết về khả năng này từ hàng thập kỷ. Nhưng Read của FireEye chỉ ra rằng phương pháp này đã trở nên phổ biến hơn gần đây khi nhận thức về sự cần thiết của phòng thủ an ninh mạng đã tăng và các tổ chức đã tiến triển trong việc bảo vệ mạng của họ. Đánh Cắp DNS là một cách tương đối dễ dàng để vẫn truy cập dữ liệu nội bộ mà không cần thực sự xâm nhập vào hệ thống của một tổ chức.
"Những gì họ đang tìm kiếm là thông tin," Read nói. "Họ thực sự không quan tâm họ nhận được nó từ đâu."
Những hacker người Iran đã không ngừng tăng cường hoạt động thu thập thông tin tình báo số qua năm qua, nhắm vào mọi thứ từ thông tin chính phủ đến sở hữu trí tuệ và dữ liệu từ các trường đại học nghiên cứu. Họ thường sử dụng các cuộc tấn công lừa đảo spear phishing tinh tế trong những chiến dịch này để chiếm đoạt thông tin đăng nhập và xâm nhập vào mạng. Nhưng khi điều đó không khả thi hoặc không thành công, Đánh Cắp DNS có thể lấp đầy khoảng trống và cung cấp thông tin đăng nhập khó nhận biết hơn.
Để giúp bảo vệ khỏi cuộc tấn công Đánh Cắp DNS, FireEye đề xuất rằng các tổ chức nên theo dõi chứng chỉ máy chủ thư và kiểm tra nơi mà tên miền thực sự đang trỏ để bắt gặp hành vi đáng ngờ. "Nó ngụ ý rằng không ai đang theo dõi khi chứng chỉ thay đổi," Dave Aitel, một nghiên cứu viên cựu NSA giờ là giám đốc công nghệ an ninh tại công ty hạ tầng an toàn Cyxtera, nói về những phát hiện này. Và mặc dù những kẻ tấn công tận dụng những cánh cửa mở này bất cứ nơi nào, công việc mà họ đầu tư vào việc làm tinh tế cho các cuộc tấn công nhắm mục tiêu vẫn là dấu hiệu về giá trị của dữ liệu thu được từ chúng. "Người Iran không làm việc này chỉ để vui chơi," Aitel nói.
Các nhóm nghiên cứu tình báo đe dọa khác, bao gồm cả Cisco Talos, trước đây đã phát hiện các thành phần khác nhau của chiến dịch độc hại. FireEye nhấn mạnh rằng các chiến dịch Đánh Cắp DNS khó nắm bắt được, vì có thể khó xác định làm thế nào kẻ tấn công có thể thao túng các bản ghi DNS cụ thể và độ lớn của dữ liệu bị chiếm đoạt.
All the more reason that this hacking spree could be the progenitor of numerous future attacks.
“Chúng tôi thậm chí chưa phát hiện hết phạm vi của chiến dịch cụ thể này,” Read nói. “Ngay cả sau khi chúng tôi đăng bài đăng blog của mình, chúng tôi đã tìm thấy các tên miền mới đã bị tấn công từ trước.”
Những điều Tuyệt vời Khác trên Mytour
- YubiKey tuyệt vời này sẽ sớm giải phóng iPhone của bạn khỏi mật khẩu
- Tác động của tất cả những bức ảnh tự sướng đó đối với não của bạn là gì?
- Công nghệ đơn giản giúp tàu L của NYC tiếp tục chạy
- Cháy rừng gần đến nhà với nhiếp ảnh gia này
- Chuyến bay Pan Am 103 và cuộc tìm kiếm công lý 30 năm của Mueller
- 👀 Đang tìm kiếm những công nghệ mới nhất? Kiểm tra các lựa chọn, hướng dẫn mua sắm và các ưu đãi tốt nhất quanh năm của chúng tôi
- 📩 Muốn thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới và tuyệt vời nhất của chúng tôi
