Nhóm hacker Nga Fancy Bear tấn công mạng hàng loạt khách sạn nước ngoài

Thứ Tư, 23/08/2017, 12:49
Thực ra, bọn hacker cao tay nghề thường cho phần mềm gián điệp ẩn nấp trong mạng wifi khách sạn nhiều ngày trước khi vị khách đến đăng ký phòng và bắt đầu sử dụng máy tính.

Theo báo cáo từ công ty an ninh không gian mạng FireEye đặt trụ sở tại California (Mỹ), từ mùa thu năm 2016, nhóm hacker Nga APT28 (hay còn gọi là Fancy Bear) tấn công các nạn nhân thông qua kết nối wifi tại khách sạn mà họ lưu trú.

Tháng 7-2017, FireEye tiếp tục đưa tin APT28 sử dụng công cụ hack EternalBlue bị rò rỉ của NSA để xâm nhập mạng wifi các khách sạn cao cấp ở châu Âu và Trung Đông, âm thầm đánh cắp tên người dùng và mật khẩu từ máy tính của du khách lưu trú.

Theo Ben Read, lãnh đạo bộ phận nghiên cứu gián điệp mạng của FireEye, công ty phát hiện được một loạt những vụ tấn công xâm nhập mạng wifi tại hệ thống khách sạn ở 7 khu vực thủ đô châu Âu và 1 khu vực ở Trung Đông diễn ra hồi tháng 7-2017.

FireEye tin rằng APT28 sử dụng chiến thuật phổ biến là gửi email lừa đảo đính kèm tập tin Hotel_Reservation_Form.doc và macro ẩn trong tài liệu Microsoft Word sẽ cài tự động cài mã độc GameFish hoặc XTunnel của nhóm hacker.

Công cụ EternalBlue của NSA bị nhóm hacker bí ẩn tự xưng là Shadow Brokers đánh cắp và tung lên Internet hồi năm 2016. Công cụ EternalBlue của NSA cũng giúp phát tán mã độc đòi tiền chuộc WannaCry gây hoang mang dư luận trong thời gian qua.

Nhóm hacker Fancy Bear được tin là của Nga.

Thực ra, những cuộc tấn công hệ thống wifi khách sạn phương Tây của hacker không có gì mới. Năm 2014, những vụ tấn công bằng mã độc gọi là DarkHotel nhằm vào mạng wifi các khách sạn cao cấp đã diễn ra hàng loạt. Theo các chuyên gia phân tích an ninh mạng, DarkHotel thường chọn lọc mục tiêu trước khi tiến hành những cuộc tấn công theo kiểu spear-phishing (qua email) và qua các mạng chia sẻ dữ liệu P2P (mạng ngang hàng).

Điểm khác biệt của DarkHotel là chỉ chọn những mục tiêu có giá trị cao và điểm tấn công là mạng wifi trong các khách sạn 5 sao chủ yếu trong khu vực châu Á - Thái Bình Dương nhưng cũng có một vài khách sạn ở Mỹ. Mã độc DarkHotel chủ yếu chọn mục tiêu làm việc trong các ngành: ôtô, tài chính, dược phẩm, điện tử và hóa chất, hành pháp, tình báo và quốc phòng, cũng như các tổ chức phi chính phủ (NGO).

Bình luận trước những cuộc tấn công của hacker, BYOD Mobile Security thừa nhận không thể bảo vệ hoàn toàn người dùng khi họ du hành ra nước ngoài và sử dụng mạng wifi công cộng tại các quán cà phê hay trong khách sạn.

Ian Amit, Phó Chủ tịch Công ty ZeroFOX (Mỹ), cho rằng: “Yếu tố con người đóng vai trò quan trọng mở lối cho bọn hacker xâm nhập mạng. Có một điều không may là phần nhiều những thông tin nhạy cảm lại thường tìm thấy được trên mạng xã hội. Khi du hành ra nước ngoài, chúng ta nên tuân theo một số nguyên tắc: không cập nhật, không tải phần mềm mới hay cài phần cứng, không thực hiện các download”.

Các chuyên gia an ninh còn khuyên người dùng nên sử dụng các đường truyền mạng riêng ảo (VPN) khi truy cập wifi công cộng tại khách sạn và những nơi khác.

Mã độc Duqu 2.0 - được tin là sản phẩm của hacker Israel - được phát hiện bên trong hệ thống mạng wifi các khách sạn ở châu Âu, những nơi thường được chọn để tổ chức đàm phán về chương trình hạt nhân gây tranh cãi của chính quyền Iran. Qua mọi vụ việc được báo cáo, người ta có thể dám chắc rằng hệ thống kết nối mạng không dây của khách sạn thực sự không là thiên đường an toàn cho những du khách mang theo bên mình thông tin nhạy cảm.

Trong  khi đó, Ben Read cảnh báo sự sử dụng VPN cũng không chắc ngăn ngừa được sự rò rỉ thông tin cá nhân trước cuộc tấn công của hacker.

Duy Ân (tổng hợp)
.
.