Báo cáo của FBI và Bộ an ninh nội địa Hoa Kỳ (DHS) cung cấp chi tiết về DeltaCharlie, một biến thể malware được sử dụng bởi nhóm hacker có tên gọi Hidden Cobra có khả năng lây nhiễm hàng trăm ngàn máy tính toàn cầu, và trở thành một phần trong hệ thống botnet DDoS.
Theo như báo cáo này, nhóm hacker Hidden Cobra được cho là được chính phủ Bắc Hàn hậu thuẫn cũng như là nhóm đứng sau vụ tấn công mạng trên nhiều tổ chức toàn cầu, bao gồm các tổ chức báo chí, lĩnh vực tài chính, vũ trụ và cấu trúc hạ tầng thiết yếu.
Trong khi chính phủ Mỹ gọi nhóm hacker Triều Tiên này là Hidden Cobra, họ còn được biết đến với tên gọi Lazarus Group và Guardians of Peace, nhóm được cho là có liên quan tới vụ tấn công ransoware WannaCry đánh sập nhiều hệ thống bệnh viện và doanh nghiệp khắp thế giới.
DeltaCharlie - Malware botnet DDoS
Người ta đã phát hiện ra các địa chỉ IP "có độ tin cậy cao" có liên quan tới DeltaCharlie - một công cụ DDoS mà DHS và FBI tin rằng Triều Tiên đã dùng để tung ra chiêu tấn công từ chối dịch vụ phân tán (DDoS) khiến cho hệ thống máy tính quá tải. DeltaCharlie có thể tung ra nhiều kiểu tấn công DDoS lên máy nạn nhân, bao gồm Domain Name System (DNS), Network Time Protocol (NTP) và Character Generation Protocol (CGP).
Botnet đưa máy người dùng vào một mạng lưới máy tính nhiễm độc
Malware botnet có khả năng tải file thực thi trên hệ thống nhiễm độc, cập nhật thư viện biên dịch, thay đổi cấu hình trong thời gian thực, dừng các quy trình xử lý và kích hoạt cũng như dừng tấn công DDoS.
DeltaCharlie DDoS cũng không phải một malware mới. Nó lần đầu được báo cáo bởi Novetta trong báo cáo Operation Blockbuster Malware Report 2016, trong đó mô tả nó là malware thứ 3 đến từ nhóm hacker của Triều Tiên, sau DeltaAlpha và DeltaBravo.
Các malware khác được Hidden Cobra sử dụng còn có Destover, Wild Position hay Duuzer, Hangman với những khả năng phức tạp như DDoS botnet, theo dõi thao tác bàn phím, công cụ truy cập từ xa RAT và xóa dữ liệu.
Lỗ hổng yêu thích của Hidden Cobra
Hoạt động từ năm 2009, Hidden Cobra thường nhắm tới các hệ thống chạy OS cũ, không được hỗ trợ của Microsoft và thường khai thác lỗ hổng trong Adobe Flash Player để có được quyền truy cập vào máy nạn nhân.
Dưới đây là những lỗ hổng mà Hidden Cobra hay dùng:
- Hangul Word Processor bug (CVE-2015-6585)
- Microsoft Silverlight flaw (CVE-2015-8651)
- Adobe Flash Player 18.0.0.324 và 19.x vulnerability (CVE-2016-0034)
- Adobe Flash Player 21.0.0.197 Vulnerability (CVE-2016-1019)
- Adobe Flash Player 21.0.0.226 Vulnerability (CVE-2016-4117)
Cách đơn giản nhất để tránh những kiểu tấn công này là luôn cập nhật hệ điều hành và các phần mềm cài đặt, bảo vệ tài sản mạng bằng tường lửa. Từ khi Adobe Flash Player nhận nhiều vụ tấn công thì tới hôm nay, Adobe đã vá 9 lỗ hổng trên Player, người dùng được khuyến khích cập nhật hoặc xóa bỏ hoàn toàn khỏi máy tính.
FBI và DHS cung cấp nhiều chỉ báo khả năng máy bị tấn công (IOCs), mô tả malware, chữ ký mạng cũng như quy tắc Yara (các chuỗi tìm kiếm cơ bản) nhằm giúp phát hiện hành vi tấn công của nhóm hacker từ Triều Tiên.
"Nếu người dùng hay người quản trị thấy các công cụ chỉ báo về Hidden Cobra thì hãy nhanh chóng gắn cờ, báo cáo tới DHS NCCIC hoặc FBI Cyber Watch (CyWatch) và ưu tiên các phương pháp giảm tấn công mạng".
Chi tiết thông tin xem tại địa chỉ này.