Mã độc DarkHotel “tấn công” khách VIP ở khách sạn hạng sang

Thứ Bảy, 10/01/2015, 06:20
Vị khách sử dụng laptop truy cập Internet qua mạng wifi trong khách sạn 5 sao có lẽ không bao giờ biết được mình bị tấn công như thế nào sau khi bất ngờ nhận được thông báo yêu cầu cập nhật các phần mềm mới như Adobe, Google Toolbar hay Windows Messenger. Vị khách không hề biết rằng khi nhấp chuột đồng ý tải xuống phần mềm Adobe mới, một mã độc gọi là DarkHotel đã lây nhiễm vào máy tính.

Bọn hacker cao tay nghề thật ra đã cho phần mềm gián điệp ẩn nấp trong mạng wifi của khách sạn nhiều ngày trước khi vị khách đến đăng ký phòng và bắt đầu sử dụng máy tính. Sau khi người này trả phòng, DarkHotel cũng tự động xóa bỏ mọi dấu vết khỏi mạng wifi của khách sạn.

Đó là cảnh báo của hãng bảo mật máy tính Nga Kaspersky đối với những vị khách quan trọng lưu trú trong chuỗi khách sạn cao cấp tại khu vực châu Á - Thái Bình Dương. Theo thông báo từ Kaspersky, DarkHotel đã tồn tại ít nhất 7 năm qua và thường chọn lọc mục tiêu trước khi tiến hành những cuộc tấn công theo kiểu spear-phishing (qua email) và qua các mạng chia sẻ dữ liệu P2P (mạng ngang hàng).

Đội ngũ chuyên gia nghiên cứu của Kaspersky gọi nhóm hacker này là DarkHotel, trong khi các hãng bảo mật máy tính khác gọi là Tapaoux. Điểm khác biệt của DarkHotel là chỉ chọn những mục tiêu có giá trị cao và điểm tấn công là mạng wifi ở các khách sạn 5 sao chủ yếu trong khu vực châu Á - Thái Bình Dương nhưng cũng có một vài khách sạn ở Mỹ.

Costin Raiu - giám đốc Đội Phân tích và Nghiên cứu Toàn cầu của Kaspersky - nhận định: "Những cuộc tấn công của DarkHotel ngày càng mở rộng hơn và nhắm vào nhiều khách sạn cao cấp hơn". Kaspersky không nêu tên các khách sạn nằm trong chiến dịch DarkHotel, và chỉ cho biết những nơi này không muốn hợp tác hỗ trợ điều tra do sợ sự tiết lộ sẽ ảnh hưởng đến công cuộc kinh doanh của họ.

Mục tiêu bị tấn công theo kiểu spear-phishing là các giám đốc điều hành, phó chủ tịch, chuyên gia R&D (nghiên cứu và phát triển), và giám đốc bán hàng và marketing trong môi trường kinh doanh và đầu tư cỡ lớn cũng như trong các cơ quan chính quyền và tổ chức phi chính phủ (NGO).
Costin Raiu, Giám đốc Đội Phân tích và Nghiên cứu Toàn cầu của Kaspersky.

Mới đây nhất, Kaspersky ghi nhận ngành công nghiệp quốc phòng Mỹ cũng bị DarkHotel tấn công. Sau khi lây nhiễm phần mềm độc hại vào máy tính nạn nhân, DarkHotel sẽ tiến hành mở "cửa sau" giúp xác định tầm quan trọng của mục tiêu và từ đó sẽ quyết định thực hiện những bước tấn công tiếp theo "cao cấp hơn" để đánh cắp dữ liệu nhạy cảm.

Theo Kaspersky, nhóm hacker đứng đằng sau DarkHotel dường như biết rõ những mục tiêu giám đốc điều hành nắm giữ thông tin nhạy cảm sẽ thuê phòng khách sạn vào lúc vào và khi nào rời đi để phục sẵn từ trước mà chờ dịp ra tay.

Trong nhiều năm qua, các chuyên gia an ninh mạng đã có cảnh báo đến những nhân vật quan trọng về mối nguy hiểm khi du hành ra nước ngoài mang theo tài liệu mật chứa trong laptop và chiến dịch tấn công DarkHotel được phát hiện càng làm tăng thêm mối lo ngại này. Theo báo cáo của Kaspersky, mã độc DarkHotel chủ yếu chọn mục tiêu làm việc trong các ngành: ôtô, tài chính, dược phẩm, điện tử và hóa chất, hành pháp, tình báo và quốc phòng, cũng như các NGO.

Tuy nhiên, theo nghiên cứu của Kaspersky, DarkHotel dường như không tấn công mục tiêu nào đến 2 lần. Trong khi đó, Kaspersky không thông báo cụ thể tên các công ty và giám đốc điều hành nào trở thành mục tiêu của DarkHotel.

Gần 90% những vụ lây nhiễm mã độc diễn ra ở Nhật Bản, Đài Loan, Trung Quốc, Nga, Hàn Quốc, Philippines, Singapore, Hồng Kông, Indonesia… thậm chí còn lan rộng ra nhiều nước khác ngoài khu vực châu Á - Thái Bình Dương như châu Âu, Trung Đông và cả châu Âu! Các chuyên gia an ninh mạng dự báo vào một ngày nào đó có thể sẽ xuất hiện phiên bản "DarkHotel 2".
Kaspersky phân tích các bước tấn công của DarkHotel.

Olivier Tavakoli, Trưởng ban Công nghệ của Vectra Networks, cho rằng: "Có 2 bài học rút ra từ cuộc tấn công mã độc DarkHotel. Thứ nhất, các cấu trúc an ninh phải đủ mạnh để chống lại được những cuộc tấn công người dùng mạng wifi. Thứ hai, cần đặc biệt chú trọng đến vấn đề mã độc sẽ làm gì hơn là mã độc là gì".

Trong khi đó, báo cáo của BYOD Mobile Security cũng nhấn mạnh những cuộc tấn công nhằm vào thiết bị di động là mối lo ngại an ninh hàng đầu trong năm nay, đồng thời thừa nhận không thể bảo vệ hoàn toàn người dùng khi họ du hành ra nước ngoài và sử dụng các mạng wifi công cộng tại các quán cà phê hay trong khách sạn.

Ian Amit, Phó Chủ tịch ZeroFOX, cho rằng: "Yếu tố con người đóng vai trò quan trọng mở lối cho bọn hacker xâm nhập mạng. Và, một điều không may là phần nhiều những thông tin nhạy cảm lại thường tìm thấy được trên mạng xã hội. Khi du hành ra nước ngoài, chúng ta nên tuân theo một số nguyên tắc: không cập nhật, không tải phần mềm mới hay cài phần cứng, không thực hiện các download".

Các nhà nghiên cứu ở Kaspersky khuyên người dùng nên sử dụng các đường truyền Mạng riêng ảo (VPN) khi truy cập wifi công cộng tại khách sạn và những nơi khác.

Trang Thuần (tổng hợp)
.
.