McAfee cảnh báo hacker đang tấn công vào các nhà thầu quốc phòng

Theo đó, các nhà nghiên cứu tại McAfee lần đầu tiên đã trình bày chi tiết về chiến dịch gián điệp của hacker mang tên “Chiến dịch North Star”, chiến dịch này được so sánh gần giống với chiến dịch Hidden Cobra của The Lazarus Group. The Lazarus Group được các nước như Mỹ và một số nước khác coi là hoạt động tấn công gián điệp của hacker Triều Tiên. Theo McAfee chiến dịch được thực hiện thông qua các email, tin nhắn tuyển dụng.

Theo McAfee chiến dịch được thực hiện thông qua các email, tin nhắn tuyển dụng.

Về cách thức hoạt động, chuyên gia của McAfee cho biết, chiến dịch tấn công gồm 2 giai đoạn: Giai đoạn thứ nhất, thu hút “con mồi” sau đó cài mã độc vào máy tính nạn nhân; Giai đoạn thứ hai, phân loại và đánh giá các nạn nhân tiềm năng để tiến hành tấn công sâu hơn nếu nạn nhân có giá trị cao.

Ở giai đoạn thứ nhất, hacker sẽ tiến hành gửi email lừa đảo, tin nhắn qua LinkedIn với nội dung là các thông điệp tuyển dụng việc làm nhằm thu hút các nạn nhân mở các tệp đính kèm chứa mã độc.

Tin tặc thậm chí còn sử dụng các quảng cáo tuyển dụng hợp pháp và tài liệu lấy từ các trang web nhà thầu quốc phòng nổi tiếng của Mỹ để làm cho các email trông chân thực hơn.

Mã độc sẽ được cài máy tính nạn nhân để phân tích mức độ giá trị của các nạn nhân.

Sau đó, mã độc sẽ cho hacker nắm được các dữ liệu bao gồm thông tin ổ đĩa, dung lượng đĩa trống, tên máy tính và tên người dùng đã đăng nhập và nhiều thông tin trong máy tính khác.

Giai đoạn hai, hacker sẽ phân tích các thông tin này để xác định xem nạn nhân có đủ giá trị cao để tiếp tục tấn công hay không. Trong trường hợp, nạn nhân được coi là không đủ quan trọng, máy sẽ bị gạt sang một bên trong khi những kẻ tấn công tập trung vào việc phân phối phần mềm độc hại giai đoạn hai cho những nạn nhân được coi là đáng giá hơn của sự chú ý.

Giai đoạn thứ hai sử dụng thiết bị cấy ghép đã biết trước đây có tên là Torisma, một công cụ được phát triển tùy chỉnh tập trung vào việc giám sát chuyên biệt các hệ thống của nạn nhân có giá trị cao, tìm cách truy cập thông tin đăng nhập và các phiên máy tính từ xa - tất cả trong khi vẫn không bị phát hiện.

Các nhà nghiên cứu của McAfee cho biết: “Điều rõ ràng là mục tiêu của chiến dịch là thiết lập một chiến dịch gián điệp lâu dài, liên tục, tập trung vào các cá nhân cụ thể sở hữu công nghệ có giá trị chiến lược từ các quốc gia quan trọng trên thế giới”.

Đối với Chiến dịch Sao North Star, điều này có nghĩa là nghiên cứu các nạn nhân mục tiêu cụ thể và tạo nội dung tùy chỉnh để thu hút nạn nhân, sau đó lây nhiễm phần mềm độc hại cho họ trong nỗ lực thực hiện hành vi gián điệp.

Báo cáo ban đầu về các cuộc tấn công chi tiết của chiến dịch nhằm vào các mục tiêu ở Mỹ, nhưng đó không phải là những cuộc tấn công duy nhất. Phân tích các cuộc tấn công đã tiết lộ rằng các nhà thầu quốc phòng và công nghệ ở Israel, Nga, Ấn Độ và Úc cũng là mục tiêu của chiến dịch này.