Ads 468x60px

Thứ Hai, 21 tháng 7, 2014

TQ gài mã độc Zombie Zero vào các máy scanner, nhằm lấy cắp dữ kiện tài chánh


SC Magazine
Công ty TrapX về An ninh Mạng đã tố cáo ngày 11/7, nhà cầm quyền Trung Quốc bị tình nghi dính líu vào một cuộc tấn công loại "0 Day" khá đặc biệt (có nghĩa là chưa có vá an ninh để trám lỗ hổng ) nhằm vào các công ty chuyển vận linh kiện, tiếp liệu hàng hóa và chế hóa phẩm.  Trong bản tường trình về cuộc tấn công loại "O Day" này, TrapX cho biết mã độc đã được kín đáo gài vào các loại scanner cầm tay và cũng như vào nhu liệu tại một hãng xưởng Trung Quốc về dụng cụ phụ tùng, và sau đó được gởi tới 7 công ty về  chuyển tải và tiếp liệu cùng với một công ty chế hóa phẩm. Trong mục tiêu xâm nhập vào hệ thống ERP (Entreprise Resources Planning) và lấy cắp các dữ kiện về tài chánh.
Theo TrapX, mã độc loại tinh vi này được gọi là Zombie Zero,  đã được gài vào hệ điều hành Windows XP của máy scanner, cũng như trên trang mạng support của hãng Trung Quốc nói trên (có nghĩa nếu một hãng xử dụng loại scanner cần cập nhật, sẽ tải xuống một nhu liệu cập nhật trong đó có chứa mã độc). Máy scanner được dùng để ghi lại (flash) các ký hiệu (Id Code) các dụng cụ phụ tùng và chuyển lên máy chủ ERP bằng đường liên lạc không dây wifi.
Khi nhân viên xử dụng máy scanner bị gài mã độc Zombie Zero, mã độc này đột nhập vào hệ thống điện toán của hãng, và đi tìm máy chủ có ứng dụng ERP. Sau đó, sẽ thu thập các dữ kiện về tài chánh, về số lượng mua đồ phụ tùng, tiếp liệu của hãng bị tấn công, gởi đến một máy chủ bên Trung Quốc,. Mã độc vượt qua được các hàng rào Tường Lửa (Firewall), IPS (Intrusion Detection System), phòng chống mã độc, vì được gài ngay trong phần firmware bên dưới hệ điều hành. TrapX tìm ra địa chỉ IP máy chủ của Zombie Zero nằm trong Trung Tâm LanXiang, trong mạng viễn Thống UNICOM tại tỉnh Quảng Đông. Được biết Trường LaoXiang cũng bị khám phá là dính líu đến Chiến Dịch Tấn Công AURORA cách đây hơn 2  năm nhằm vào công ty Google bên Trung Quốc.. Và hãng Trung Quốc chế tạo máy scanner bị gài mã độc nằm cách Trường LaoXiang, chỉ vài khu phố.
Những biện pháp đề phòng các máy điện toán hay máy kỹ nghệ được điều động bởi điện toán, bị gài mã độc trong phần hardware hay firmware:
- Thật cẩn thận khi bị bắt buộc phải mua dụng cụ có nhu liệu (như scanner, máy y khoa được điều khiển bằng điện toán, các máy tự động trong kỹ nghệ như máy hàn, đo nhiệt độ, hơi nước,áp xuất,...) made in China, hay made in RPC. Cần người trách nhiệm hãng cho biết rõ nguồn gốc, chi tiết chế tạo, các ứng dụng cài đặt,... Nên nhờ một công ty chuyên về an ninh mạng kiểm soát lại xem cho bị gài mã độc hay không, bằng cách thử máy trong một sandbox , để xem có những liên lạc oubound ra bên ngoài cho một máy chủ C&C để nhận lệnh hay không?
- Nếu không bị bắt buộc nên mua một máy tương đương nhưng không phải chế tạo từ Trung Quốc, dù giá mắc hơn một chút, nhưng chắc chắn an toàn hơn không bị gài mã độc.
- Hiện nay có một số máy điện thoại tinh khôn chế tạo bên Trung Quốc như loại STAR N9500 cũng bị gài mã độc. trong firmware và không thể bỏ đi được (uninstall), trừ khi cài đặt lại hoàn toàn.
Được biết qua tiết lộ của phân tích viên Edward Snowden, nhóm chuyên viên rất đặc biệt TAO (Tailored Acced Operations) của cơ quan an ninh quốc gia Hoa Kỳ, NSA cũng dùng cách thức cài đặt ngay từ xưởng chế tạo nhằm vào một số mục tiêu đặc biệt rất khó tấn công cách khác. Tuy nhiên theo cái nhìn một số chuyên viên bên ngoài, Trung Quốc chuyên xử dụng tin tặc dể đột nhập vào các hệ thống điện toán các hãng xưởng về quốc phòng hay về kỹ thuật tiền tiến để lấy cắp kỹ thuật, bản quyền để độc chiếm thị trường, và không bị ai kiểm soát; trong lúc NSA, ít nhất cho dến giờ, nhắm nhiều vào các thành phần khủng bố hay nguy hại đến an ninh Hoa Kỳ, chứ không nhằm vào các hãng xưởng ngoại quốc và các hoạt đông bị tình nghi là vi phạm hiến pháp đang bị điều tra và đang bị Quốc Hội Hoa Kỳ cứu xét nhằm giới hạn phạm vi và đối tượng bị theo dõi.

0 nhận xét:

Đăng nhận xét