Với sự hỗ trợ của Shadowserver Foundation, một tổ chức phi lợi nhuận chuyên thu thập dữ liệu về các mối đe dọa máy tính, các nhà nghiên cứu bảo mật tại WatchTowr Labs đã phát hiện hơn 4.000 cửa hậu trên khắp web. Những lỗ hổng ẩn này được tội phạm mạng đặt trên máy chủ web trước khi bị bỏ rơi. Chúng không còn được sử dụng nữa, nhưng vẫn hoạt động.
Xin nhắc lại, cửa hậu là phần mềm độc hại được cài đặt trên trang web hoặc máy chủ để cung cấp quyền truy cập bí mật cho tội phạm mạng. Nó cho phép thực hiện các lệnh từ xa, đánh cắp dữ liệu hoặc cài đặt phần mềm độc hại khác. Trong trường hợp này, tin tặc đã sử dụng tên miền Internet để truyền lệnh đến các cửa hậu. Các tên miền này đã hết hạn.
Sau khi phát hiện ra các lỗ hổng, các nhà nghiên cứu đã quyết định phá hủy toàn bộ cơ sở hạ tầng để những tin tặc khác có thể sử dụng các cửa hậu. Để đạt được điều này, họ đã mua lại toàn bộ các miền đất do bọn cướp biển để lại. Trên thực tế, họ có thể chặn được các liên lạc bí mật và kiểm soát chúng. Cụ thể, các nhà nghiên cứu đã có thể chuyển hướng mọi thông tin liên lạc đến các máy chủ an toàn.
Từ đó, các chuyên gia của WatchTowr Labs đã có thể xác định một phần danh sách nạn nhân của cuộc tấn công mạng. Theo họ, các cửa hậu được triển khai trên các máy chủ web thuộc các cơ quan chính phủ và trường đại học trên khắp thế giới, đặc biệt là ở Thái Lan, Hàn Quốc và Trung Quốc. Tòa án và các cơ quan của Trung Quốc cũng đã bị tấn công.
Mọi thứ đều cho thấy rằng các cửa hậu được thực hiện bởi tội phạm mạng được chính phủ tài trợ. Một trong những cửa hậu này cũng có liên quan đến Lazarus, một trong những nhóm tội phạm được Triều Tiên chỉ định. Những tin tặc này đã chuyên đánh cắp tiền điện tử trong năm năm qua.
Chúng đặc biệt được biết đến với việc chỉ đạo vụ tấn công Ronin Network vào năm 2022, khiến 624 triệu đô la tài sản kỹ thuật số biến mất. Theo WatchTowr Labs, backdoor có khả năng đã được nhiều tội phạm mạng khác sử dụng lại kể từ khi Lazarus xuất hiện:
Người ta tin rằng backdoor đã được nhiều kẻ tấn công thực hiện với nhiều cấp độ kỹ năng khác nhau. Theo các chuyên gia, có thể sẽ có nhiều cửa hậu loại này được phát hiện trong tương lai gần.
Nguồn: WatchTowr Labs
Xin nhắc lại, cửa hậu là phần mềm độc hại được cài đặt trên trang web hoặc máy chủ để cung cấp quyền truy cập bí mật cho tội phạm mạng. Nó cho phép thực hiện các lệnh từ xa, đánh cắp dữ liệu hoặc cài đặt phần mềm độc hại khác. Trong trường hợp này, tin tặc đã sử dụng tên miền Internet để truyền lệnh đến các cửa hậu. Các tên miền này đã hết hạn.
Cửa hậu bị phá hủy
Sau khi phát hiện ra các lỗ hổng, các nhà nghiên cứu đã quyết định phá hủy toàn bộ cơ sở hạ tầng để những tin tặc khác có thể sử dụng các cửa hậu. Để đạt được điều này, họ đã mua lại toàn bộ các miền đất do bọn cướp biển để lại. Trên thực tế, họ có thể chặn được các liên lạc bí mật và kiểm soát chúng. Cụ thể, các nhà nghiên cứu đã có thể chuyển hướng mọi thông tin liên lạc đến các máy chủ an toàn.
Từ đó, các chuyên gia của WatchTowr Labs đã có thể xác định một phần danh sách nạn nhân của cuộc tấn công mạng. Theo họ, các cửa hậu được triển khai trên các máy chủ web thuộc các cơ quan chính phủ và trường đại học trên khắp thế giới, đặc biệt là ở Thái Lan, Hàn Quốc và Trung Quốc. Tòa án và các cơ quan của Trung Quốc cũng đã bị tấn công.
Tội phạm mạng được chính phủ tài trợ
Mọi thứ đều cho thấy rằng các cửa hậu được thực hiện bởi tội phạm mạng được chính phủ tài trợ. Một trong những cửa hậu này cũng có liên quan đến Lazarus, một trong những nhóm tội phạm được Triều Tiên chỉ định. Những tin tặc này đã chuyên đánh cắp tiền điện tử trong năm năm qua.
Chúng đặc biệt được biết đến với việc chỉ đạo vụ tấn công Ronin Network vào năm 2022, khiến 624 triệu đô la tài sản kỹ thuật số biến mất. Theo WatchTowr Labs, backdoor có khả năng đã được nhiều tội phạm mạng khác sử dụng lại kể từ khi Lazarus xuất hiện:
Người ta tin rằng backdoor đã được nhiều kẻ tấn công thực hiện với nhiều cấp độ kỹ năng khác nhau. Theo các chuyên gia, có thể sẽ có nhiều cửa hậu loại này được phát hiện trong tương lai gần.
Nguồn: WatchTowr Labs
