- Vụ tình báo mạng Trung quốc cài phần mềm gián điệp, lấy cắp dữ liệu:
1- Vụ tin tặc Trung Quốc tấn công, lấy cắp dữ liệu của Tập đồn dầu khí
Ngày 18/04/2012, phát hiện trên hệ thống máy tính của Tập đồn Dầu khí
có một số địa chỉ IP kết nối trái phép tới máy tính người sử dụng và phát tán virus nhằm mục đích lấy cắp mật khẩu email, mật khẩu máy tính của người dùng. Giải mã các mẫu virus, keylogger thu được cho thấy:
Hacker đã lấy cắp và sử dụng một tài khoản email nội bộ, gửi email có đính kèm file “Phó Thủ tướng Hồng Trung Hải thăm ngành Dầu khí Peru.doc” tới các nhân viên Tập đồn dầu khí, gắn kèm một Backdoor nguy hiểm khai thác lỗ hổng CVE-2010-3333 (MS10 - 087) của Microsoft Office. Nếu Microsoft Office chưa được vá lỗi, sẽ bị lây nhiễm mã độc này và bị chiếm quyền điều khiển máy tính của nạn nhân. Rất nhiều nhân viên của PV đã mở file văn bản này và bị nhiễm, kích hoạt Backdoor. Sau khi lây nhiễm, Backdoor chiếm quyền điều khiển máy tính và tạo kênh liên lạc với hacker, kết nối với server điều khiển và cài đặt thêm các phần mềm gián điệp khác, có chức năng lấy cắp dữ liệu trong máy tính, ghi lại các thao tác bàn phím và chụp ảnh màn hình gửi về
cho hacker. Phân tích các mẫu mã độc cho thấy, backdoor trên đã tải về và cài
đặt thành công bốn loại phần mềm spyware lên máy tính của nhân viên PetroVietnam gồm: kbdcx.dll + sensrv.dll, SMax4.exe + comm32.dll,
wuauc1t.exe, msnms.exe.
Mã độc “kbdcx.dll + sensrv.dll” là một keylogger ghi lại các thao tác bàn phím, chụp ảnh màn hình của máy tính bị lây nhiễm. Mã độc lưu thơng tin thu được vào file “C:\WINDOWS\System32\d3duc.dll”, sau đó gửi cho hai server có địa chỉ 204.45.101.251 và www.expressvn.org định kỳ sau khoảng thời gian nhất định hoặc khi có kết nối internet.
Mã độc “SMax4.exe + comm32.dll” lấy cắp thông tin về địa chỉ IP, địa chỉ MAC của card mạng, tên username của máy tính bị lây nhiễm (giả địa chỉ vật lý MAC của Card mạng, để giao tiếp với các máy khác trong mạng nội bộ, bắt thông tin truyền trong mạng nội bộ, mà không cần xác thực, khi giao tiếp trong nội bộ mạng. Máy trả lời được địa chỉ MAC trước sẽ nhận được thông tin) và gửi về 3 địa chỉ fushing.org:8080, lucky.dinhk.net:80, fushing.org:1352.
Hacker sử dụng ID của User Agent lấy cắp của máy đang truy cập vào mạng nội
bộ (hacker giả mạo máy tính nhận thơng tin là Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322), để bắt thông tin trên đường truyền.
Tên miền www.fushing.org được đăng ký tại Đài Loan và các tên miền
www.expressvn.org, www.dinhk.net được đăng ký tại Trung Quốc.
Mã độc “wuauc1t.exe” là một keylogger lấy cắp thông tin về tài khoản Yahoo (tên đăng nhập và mật khẩu) và lưu vào file “C:\recycler\tcp.dll”, khi có kết nối mạng hoặc sau một thời gian nhất định sẽ gửi cho hacker. Mã độc “msnms.exe” thu dữ liệu và sử dụng giao thức FTP để gửi dữ liệu lên HOST lưu trữ cho các server www.zdungk.com và www.phung123.com. Các tên miền www.zdungk.com, www.phung123.com đều được đăng ký tại các nhà cung cấp tên miền tại Trung Quốc và người đăng ký là Yang Fei, email là chienld78@yahoo.com, địa chỉ tại Bắc Kinh, Trung Quốc.
Phân tích mẫu virus trong file “Google Toolbar.exe” cho thấy, mẫu virus
này thu thập dữ liệu trong máy tính của PV, sau đó nén lại bằng phần mềm Winrar và gửi vào một hộp thư có tên là nguyen0628@gmail.com cho hacker. Tính năng đặc biệt của virus này là sử dụng cùng một địa chỉ email, để cùng lúc gửi và nhận email là nguyen0628@gmail.com (tự mình gửi và nhận email của
mình). Hacker cũng cài đặt hộp thư gmail này tự xóa thư sau một khoảng thời gian nhất định. Tất cả email đã xóa được tự động chuyển vào hộp thư Trash (thùng rác) và bị xóa hồn tồn sau khoảng thời gian 30 ngày (đây là chức năng của Gmail). Để tự động chuyển thông tin nén vào hộp thư Gmail thường xuyên, liên tục, mà không bị Gmail nghi ngờ thư rác, tự động từ chối, hacker đã lưu thông tin về tên đăng nhập và mật khẩu truy nhập email ngay trong mã nguồn của virus (người sử dụng hịm thư tự gửi cho mình). Hacker sử dụng giao thức SMTP, cho phép gửi email bằng dòng lệnh mail from_địa chỉ của người gửi_Enter, RCPT (Reciepient) to_ địa chỉ của người nhận_ Enter (mail server
kiểm tra địa chỉ hợp lệ) cho phép gửi nội dung email với câu lệnh: data Enter_
nhập tiêu đề email bằng câu lệnh Subject: nhập tiêu đề Enter_ nhập nội dung email_coppy từ thư mục gốc và Past sang thư mục đích. Các thư này đều có
đính kèm file nén chứa file văn bản, mà phần mềm gián điệp này đã thu được và gửi về cho hacker. Bằng phương pháp giải mã virus, đã thu được mật khẩu của hộp thư nguyen0628@gmail.com, trong đó có thư mục Trash chứa 668 file nén đính kèm được gửi đến từ ngày 31 tháng 3 tới ngày 30 tháng 4 năm 2012, có tổng dung lượng 1,96Gb, trong đó chứa hàng ngàn tài liệu của Tập đồn dầu khí.
Hình 1.6: Kết quả phân tích mẫu virus Toolbar.exe