Báo cáo mới của Kaspesky Lab lập biểu đồ 5 năm hoạt động của nhóm gián điệp mạng nhắm vào các tổ chức chính phủ, quân sự và dân sự xung quanh biển Đông, trong đó có Việt Nam.
Từ việc thành lập thiết bị gián điệp trong một quốc gia dành cho kết nối thời gian thực và để khai thác dữ liệu, đến các công cụ gián điệp với 48 câu lệnh, một báo cáo của Kaspersky Lab cho thấy trong vòng 5 năm, mối đe dọa mang tên Naikon đã thâm nhập thành công vào các tổ chức quốc gia xung quanh biển Đông.
Các chuyên gia phát hiện nhóm Naikon là người Trung Quốc và mục tiêu chính của nhóm này là các cơ quan chính phủ cấp cao và các tổ chức dân sự và quân sự ở các nước như Philippines, Malaysia, Cambodia, Indonesia, Việt Nam, Myanmar, Singapore, và Nepal.
Kaspersky Lab đã nhận thấy đặc điểm hoạt động của Naikon như sau:
• Mỗi quốc gia mục tiêu đều có người quản lý nhân sự được chỉ định với nhiệm vụ là tận dụng lợi thế về văn hóa quốc gia, chẳng hạn như xu hướng sử dụng các tài khoản thư điện tử cá nhân cho công việc
• Nhiệm vụ của thiết bị (máy chủ ủy nhiệm) trong nước là hỗ trợ cho các kết nối thời gian thực và lấy dữ liệu trái phép
• Có ít nhất 5 năm với các hoạt động tấn công địa chính trị nổi tiếng
• Có mã nền hệ thống độc lập và khả năng chặn toàn bộ lưu thông mạng
• Có 48 câu lệnh trong kho ứng dụng quản lí từ xa, bao gồm câu lệnh lấy danh sách kiểm kê đầy đủ, đăng tải dữ liệu, cài đặt module chương trình phụ trợ, hoặc làm việc với dòng lệnh.
Nhóm gián điệp mạng Naikon được Kaspersky Lab nhắc tới lần đầu tiên trong báo cáo gần đây mang tên “Ký sự Hellsing: Đế chế đáp trả” với vai trò then chốt trong những diễn biến đã trở thành một câu chuyện đáng chú ý về sự trả đũa trong thế giới đầy những mối đe dọa cấp cao xảy ra liên tục. Hellsing, một nhóm tội phạm mạng khác, đã quyết định trả đũa khi bị Naikon tấn công.
“Các tội phạm đứng sau các cuộc tấn công của Naikon đã xoay sở để phát minh một thiết bị linh hoạt mà có thể xây dựng ở bất kì quốc gia mục tiêu nào, với các thông tin từ hệ thống của nạn nhân đi đến trung tâm điều khiển. Nếu sau đó kẻ tấn công quyết định tấn công vào mục tiêu khác ở một quốc gia khác thì chỉ cần thiết lập kết nối mới. Có các nhà điều hành tập trung vào một nhóm mục tiêu cụ thể khiến mọi thứ dễ dàng hơn cho nhóm gián điệp Naikon”, ông Kurt Baumgartner, Trưởng nhóm Nhà nghiên cứu An ninh, nhóm GreAT thuộc Kaspersky Lab cho biết.
Các mục tiêu của Naikon bị tấn công bằng phương pháp giả mạo truyền thống với email chứa tệp đính kèm được thiết kế dựa trên sự quan tâm của nạn nhân. Tệp tin đính kèm này trông giống như tài liệu Word nhưng thực chất là một tập tin thực thi được mở rộng gấp đôi.
Kaspersky Lab khuyến nghị các tổ chức tự bảo vệ mình trước Naikon bằng các cách sau:
• Không mở tệp đính kèm và các đường link từ những người bạn không quen biết
• Sử dụng giải pháp cao cấp chống phần mềm độc hại
• Nếu cảm thấy không chắc về tập tin đính kèm, hãy mở tập tin đó trong sandbox.
• Hãy cài phiên bản hệ điều hành mới nhất để đảm bảo không bị lỗi
Kaspersky Lab bảo vệ người dùng trước mối đe dọa, sử dụng Automatic Exploit Prevention với nhiệm vụ phát hiện thành phần của Naikon như: Exploit.MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent và Backdoor.Win32.Agent.
