 |
Trong thông tin phát ra tối qua,áthiệnmãđộcẩntrongphầnmềmquảnlýmáychủcủbxh uzbekistan 16/8/2017, Kaspersky cho biết, tháng 7/2017, một tổ chức tài chính là đối tác của hãng đã tiếp cận với nhóm nghiên cứu và phân tích toàn cầu Kaspersky Lab. Các chuyên gia bảo mật của tổ chức tài chính này lo lắng về các yêu cầu DNS (tên miền máy chủ) đáng ngờ bắt nguồn từ một hệ thống liên quan đến việc xử lý các giao dịch tài chính.
Các cuộc điều tra tiếp theo cho thấy nguồn gốc của những yêu cầu là phần mềm quản lý máy chủ được sản xuất bởi một công ty hợp pháp và được hàng trăm doanh nghiệp lớn trên thế giới trong các ngành tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải sử dụng. Đáng lo ngại là nhà cung cấp không hề thiết lập phần mềm thực hiện những yêu cầu này.
Các phân tích sâu hơn của Kaspersky Lab cho thấy, những yêu cầu đáng ngờ thực sự là kết quả hoạt động của một mô-đun độc hại ẩn bên trong một phiên bản gần đây của phần mềm hợp pháp này. Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, mô-đun độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể (máy chủ lệnh và điều khiển) với tần suất 8 giờ/lần.
Yêu cầu sẽ chứa thông tin cơ bản về hệ thống nạn nhân (tên người dùng, tên miền, tên máy chủ lưu trữ). Nếu kẻ tấn công xem hệ thống này là “thú vị”, máy chủ lệnh sẽ trả lời và kích hoạt một nền tảng backdoor đầy đủ chính thức âm thầm triển khai bên trong máy tính bị tấn công. Sau đó, theo lệnh từ những kẻ tấn công, nền tảng backdoor sẽ có thể tải về và thực thi mã độc hại hơn.
Sau khi phát hiện, Kaspersky Lab đã thông báo cho NetSarang - nhà cung cấp phần mềm bị lây nhiễm và nhà cung cấp này đã kịp thời gỡ bỏ mã độc và phát hành bản cập nhật cho khách hàng.