12/11/2014 21:00 GMT+7

Mất dữ liệu quý vì kết nối Wi-Fi khách sạn

PHONG VÂN
PHONG VÂN

TTO - Tội phạm mạng Darkhotel đánh cắp dữ liệu quan trọng từ các nhân vật cấp cao qua mạng Wi-Fi khách sạn, và xóa dấu vết hoàn hảo.

Người dùng ít quan tâm và cảnh giác về độ an toàn khi kết nối vào mạng Wi-Fi tại khách sạn, đặc biệt là những hệ thống mạng ở khách sạn hạng sang - Ảnh: The Guardian
Người dùng ít quan tâm và cảnh giác về độ an toàn khi kết nối vào mạng Wi-Fi tại khách sạn, đặc biệt là những hệ thống mạng ở khách sạn hạng sang - Ảnh: The Guardian

Theo Guardian, nhiều doanh nhân ở tại các khách sạn sang trọng ở châu Á đã bị loại mã độc từ nhóm hacker "Darkhotel" tấn công qua mạng Wi-Fi công cộng tại khách sạn. Tên gọi Darkhotel được Kaspersky Lab đặt tên khi khám phá ra sự tồn tại của mã độc và hoạt động của nhóm tội phạm mạng.

Theo các chuyên gia của Kaspersky Lab, mối đe dọa từ Darkhotel đã tồn tại ít nhất bảy năm qua với mục tiêu đánh cắp dữ liệu nhạy cảm từ các nhân viên cấp cao hay các sếp hay đi công tác ở nước ngoài. Sau khi cuộc tấn công hoàn tất và vị khách rời đi, Darkhotel sẽ xoá mọi dấu vết.

"Darkhotel" tấn công mục tiêu của mình trong khi họ đang ở trong những khách sạn sang trọng. Nhóm tội phạm mạng chủ nhân Darkhotel không bao giờ theo đuổi một mục tiêu đến hai lần, hoạt động theo quy trình chính xác, lấy đi tất cả các dữ liệu có giá trị từ lần tiếp xúc đầu tiên, xóa dấu vết và thâm nhập vào cơ sở dữ liệu rồi chờ đợi mục tiêu tiếp theo.

Theo Kaspersky Lab

Các mục tiêu gần đây nhất là những nhân vật điều hành cấp cao từ Mỹ và châu Á đang kinh doanh và đầu tư trong khu vực APAC (châu Á - Thái Bình Dương) như: Giám đốc điều hành (CEO), Phó Chủ tịch, giám đốc Kinh doanh & Tiếp thị, và đội ngũ nhân viên nghiên cứu và phát triển (R&D).

Kaspersky Lab cảnh báo rằng mối đe dọa này vẫn đang hoạt động. Các mục tiêu bị tấn công khi ở các khách sạn tại Nhật Bản, Đài Loan, Trung Quốc, Nga, Hàn Quốc và Hong Kong.

Darkhotel đánh cắp dữ liệu ra sao?

Dữ liệu quý trên máy tính có thể bị đánh cắp bởi các kỹ thuật cao cấp của tội phạm mạng khi kết nối mạng Wi-Fi - Ảnh minh họa: Internet
Dữ liệu quý trên máy tính có thể bị đánh cắp bởi các kỹ thuật cao cấp của tội phạm mạng khi kết nối mạng Wi-Fi - Ảnh minh họa: Internet

Darkhotel tấn công có chủ đích, chỉ nhắm đến mục tiêu đã xác định trước. Chúng thay đổi mã tấn công để chỉ có máy tính của mục tiêu bị lây nhiễm mã độc, thay vì tất cả máy tính khách kết nối vào mạng Wi-Fi khách sạn. 

Sau khi các mục tiêu đã hoàn tất thủ tục đăng ký phòng (check-in) khách sạn và kết nối vào Wi-Fi ở đây, họ sẽ sử dụng số phòng của mình để đăng nhập. Những kẻ tấn công sẽ chờ đến lúc ấy rồi sử dụng thủ thuật để khiến mục tiêu phải tải và cài đặt một bản cập nhật giả dạng phần mềm hợp pháp, như thanh công cụ của Google hay Adobe Flash mà không hề biết đó là một mã độc dạng "cửa sau" (backdoor). 

Darkhotel nhắm tới dữ liệu là các tài khoản Google, Facebook, Yahoo! và Twitter của mục tiêu, và nguy cơ từ nó tồn tại ít nhất bảy năm qua

Kaspersky Lab

Cụ thể, nhóm tội phạm mạng khai thác những lỗi bảo mật dạng zero-day (0-day: lỗi chưa được khắc phục hay có bản vá từ nhà sản xuất) trong các phần mềm phổ biến trên máy tính như Adobe Flash và Internet Explorer. 

Nguy hiểm hơn, chúng có thể cấp "chứng chỉ an toàn" giả mạo cho mã độc để qua mặt các lớp bảo vệ của hệ thống. Theo đó, cấp độ tấn công của Darkhotel được Kaspersky Lab đánh giá ở mức Trình độ cao.

Backdoor được cài vào máy tính của mục tiêu sẽ bắt đầu mở "cửa sau" để chủ nhân kết nối vào đánh cắp dữ liệu hoặc đưa thêm vào những công cụ khai thác khác. Đây chính là cách hoạt động của phần mềm gián điệp Darkhotel.

Bên cạnh đó, sau khi tải về máy tính, backdoor giúp những kẻ tấn công xác định tầm quan trọng của nạn nhân rồi mới quyết định có nên để nạn nhân tiếp tục tải về các công cụ "giả mạo" có chức năng tấn công cao cấp hơn như loại trojan Karba thu thập dữ liệu trên hệ thống. Đặc biệt là loại key-logger cao cấp ghi lại toàn bộ thao tác bàn phím của nạn nhân, bao gồm chụp ảnh màn hình.

Sau khi cuộc tấn công hoàn tất và vị khách rời đi, DarkHotel sẽ xoá mọi dấu vết.

Trong vài năm qua, một nhân tố với tên là Darkhotel đã thực hiện một số cuộc tấn công thành công đối với cá nhân cao cấp, phương pháp sử dụng và kỹ thuật vượt ra khỏi hành vi tội phạm ảo điển hình.Tội phạm mạng Darkhotel sở hữu quyền quản lý, khả năng tấn công dựa trên phương pháp toán học, khả năng tấn công bằng phân tích giải mã và các nguồn lực khác. Với những yếu tố này, chúng đủ sức lợi dụng mạng lưới thương mại đáng tin cậy và nhằm vào các mục tiêu cụ thể với độ chính xác cao

Kurt Baumgartner, chuyên gia nghiên cứu bảo mật chính của Kaspersky Lab

Theo Guardian, các cuộc tấn công của Darkhotel có thể có hậu thuẫn từ những tổ chức lớn nếu mục tiêu là các nhân vật quan trọng cấp cao. Nghi vấn này dựa trên việc các công cụ mà tội phạm mạng Darkhotel sử dụng tấn công giống với chiêu thức của các "chiến binh ảo" với bóng dáng của cơ quan chính phủ đứng sau.

Tội phạm mạng Darkhotel hiện vẫn có thể xâm nhập vào mạng lưới Wi-Fi khách sạn,
Tội phạm mạng Darkhotel hiện vẫn có thể xâm nhập vào mạng lưới Wi-Fi khách sạn, "mỏ vàng" của chúng trong những năm qua, ngay cả những hệ thống được cho là an toàn - Ảnh: Internet

Tránh trở thành nạn nhân

Một số khuyến cáo sau từ chuyên gia tại Kaspersky Lab có thể giúp ích để tránh Darkhotel và các dạng tấn công tương tự trong môi trường mạng Wi-Fi khách sạn:

  • Sử dụng các đường truyền VPN tin cậy khi truy cập Wi-Fi công cộng
  • Khi đi công tác, luôn cảnh giác với các cập nhật phần mềm đáng ngờ. Cẩn trọng xem xét nguồn gốc các gói cập nhật có được xác nhận từ nhà cung cấp hay không.
  • Cài đặt phần mềm bảo mật Internet chất lượng, không chỉ bảo vệ chống virus mà còn bao gồm các phần mềm chủ động chống lại các mối đe dọa.
  • Mã hóa dữ liệu nhạy cảm lưu trữ trên máy tính kết nối mạng Wi-Fi công cộng
PHONG VÂN
Trở thành người đầu tiên tặng sao cho bài viết 0 0 0
Bình luận (0)
thông tin tài khoản
Được quan tâm nhất Mới nhất Tặng sao cho thành viên