Theo một báo cáo mới, hacker đã lây nhiễm hơn 50.000 máy chủ trên toàn thế giới để khai thác tiền điện tử bằng các công tụ tinh vi và khác thường.
Công ty bảo mật không gian mạng Guardicore Labs cho biết vào ngày 29/05 một sự lây nhiễm phần mềm độc hại quy mô lớn – có tên là “Chiến dịch Nansh0u” – đã được thực hiện kể từ tháng 2 và đã lan rộng tới hơn 700 nạn nhân mới mỗi ngày. Cuộc tấn công chủ yếu nhắm vào các công ty trong lĩnh vực chăm sóc sức khỏe, viễn thông, truyền thông và công nghệ thông tin.
Guardicore đã tìm thấy 20 tải trọng (payloads) độc hại khác nhau theo thời gian, với các tải trọng mới được tạo ra ít nhất 1 lần 1 tuần và được đưa vào sử dụng ngay khi chúng được tạo. Phần mềm này cũng đã cài đặt một rootkit ngăn chặn loại bỏ phần mềm độc hại.
Công ty cho biết họ đã liên hệ với nhà cung cấp dịch vụ lưu trữ của các máy chủ tấn công và nhà phát hành chứng chỉ rootkit. Kết quả là các máy chủ tấn công đã bị gỡ xuống và chứng nhận đã bị thu hồi.
Điều đáng chú ý ở đây là, công ty an ninh mạng cho biết cuộc tấn công đã sử dụng các công cụ tinh vi như ở cấp độ quốc gia sử dụng, một yếu tố cho thấy vũ khí kỹ thuật số ưu tú đang trở nên dễ tiếp cận hơn đối với tội phạm mạng. Công ty Guardicore cũng cho biết thêm rằng phần mềm độc hại nêu trên được viết bằng các công cụ ngôn ngữ Trung Quốc và được đặt trên các máy chủ ngôn ngữ Trung Quốc.
Theo Guardicore: “Chiến dịch Nansh0u không phải là một cuộc tấn công khai thác tiền điện tử điển hình. Nó sử dụng các kỹ thuật thường thấy trong các mối đe dọa tiên tiến và dai dẳng (APT – advanced persistent threats), như chứng chỉ giả hay khai thác priviledge escalation, theo đó hacker cố gắng crack mật khẩu nhằm nhận quyền admin và xâm nhập được vào mạng với tài khoản Guest.
Như vậy, chiến dịch này cho thấy các công ty cần bảo vệ các thông tin bảo mật như là một phần tài sản quan trọng. Nó cũng một lần nữa chứng minh rằng các mật khẩu phổ biến vẫn bao gồm những liên kết yếu tạo điều kiện cho các luồng tấn công ngày nay. Từ việc hàng chục nghìn máy chủ có thể bị xâm phạm bởi một cuộc tấn công đơn giản, Guardicore khuyên các tổ chức nên bảo vệ thông tin cũng như có các giải pháp đối phó như giải pháp phân đoạn mạng (network segmentation).
Theo Coindesk
